En 2009, John Kane a découvert une faille dans des machines de vidéo poker qui lui permettait d’encaisser des mains gagnantes sur la base d’une mise bien plus élevée que celle qu’il avait réellement engagée. Comme il a été établi qu’il ne faisait que presser des boutons qu’il était autorisé à utiliser, il a pu garder l’argent.

La plupart des histoires de triche au casino commencent par des dispositifs cachés, des cartes marquées, ou quelqu’un qui fait très clairement quelque chose qu’il n’était pas censé faire. Celle-ci a commencé avec un homme qui appuyait sur des boutons que la machine elle-même l’autorisait à presser.

En 2009, John Kane a découvert que certaines machines de vidéo poker présentaient un défaut remarquable. Si un joueur obtenait une main gagnante, puis changeait le montant de sa mise avant d’encaisser, la machine pouvait payer le gain comme si la mise plus élevée avait été en place depuis le début.^[1] Autrement dit, un joueur pouvait miser peu, gagner, augmenter sa mise après coup, et encaisser comme s’il avait risqué bien plus d’argent qu’il n’en avait réellement mis en jeu. Ce n’était pas une série de coups de chance. C’était une erreur logicielle déguisée en jeu.

Kane et d’autres ont utilisé cette faille pour gagner des centaines de milliers de dollars dans des casinos du Nevada.^[1] La réaction évidente fut de penser que cela devait forcément être criminel. On n’est pas censé battre les casinos avec des astuces comptables. Pourtant, lorsque l’affaire est arrivée devant un tribunal fédéral, la question gênante n’était pas de savoir si Kane avait trouvé une faille. Il en avait clairement trouvé une. La question était de savoir si exploiter cette faille constituait un accès illégal à un système informatique, ou s’il s’était simplement servi de la machine d’une manière que son propre logiciel autorisait.^[1]

La machine qui a oublié quand la mise avait eu lieu

Le vidéo poker est censé être d’une logique impitoyablement ordonnée. Vous placez une mise, recevez une main, décidez quelles cartes garder, tirez des cartes de remplacement, puis êtes payé en fonction de la somme que vous avez engagée. La mise vient d’abord. Le paiement suit. Cette séquence constitue toute l’architecture du jeu.

Les machines qu’utilisait Kane rompaient cette logique.^[1] Leur logiciel permettait à un joueur de verrouiller une main gagnante à un certain niveau de mise, puis d’augmenter sa mise avant d’appuyer sur la séquence d’encaissement, ce qui produisait un paiement lié au montant plus élevé plutôt qu’au montant plus faible initialement risqué.^[1] C’est le genre de bug qui paraît impossible jusqu’à ce qu’on se souvienne que les casinos, malgré tout leur glamour, ne sont eux aussi que des pièces remplies de logiciels.

Et les logiciels ont une faiblesse bien particulière. Ils sont souvent moins vulnérables à la force brute qu’à l’obéissance. Si une machine propose un bouton, puis gère mal les conséquences du fait d’appuyer sur ce bouton dans un certain ordre, l’utilisateur n’a peut-être même pas besoin d’y pénétrer par effraction. Il lui faut seulement de la patience, de la répétition, et la volonté de remarquer ce que tout le monde manque.

Un bug, pas un piratage

Cette distinction est devenue le cœur même de l’affaire. Les procureurs fédéraux ont poursuivi Kane en vertu du Computer Fraud and Abuse Act, ou CFAA, la vaste et controversée loi américaine contre le piratage.^[1] Leur théorie était qu’en exploitant la faille logicielle, il avait dépassé l’accès autorisé à un ordinateur protégé.^[1] Le gouvernement tentait ainsi de traduire l’opportunisme de casino en criminalité informatique.

Mais il y avait un problème. Kane n’avait contourné aucun mot de passe. Il n’avait modifié aucun code. Il n’avait branché aucun appareil, ouvert aucune machine, ni accédé à des contrôles d’administration cachés.^[1] Il avait simplement utilisé les boutons à l’écran, dans l’ordre que la machine autorisait, puis accepté l’argent que la machine lui proposait ensuite. Cela a rendu l’affaire juridiquement embarrassante d’une manière très moderne.

Car si un ordinateur vous laisse faire quelque chose, à partir de quel moment franchissez-vous exactement la frontière entre l’utiliser et le pirater ?

Quand le droit se heurte à une pression sur un bouton

Le tribunal fédéral dans United States v. Kane n’avait pas à décider si ce que Kane avait fait était ingénieux. Cela était évident. Il devait décider si le gouvernement avait réellement allégué une infraction au titre du CFAA.^[1] Plus précisément, les procureurs devaient montrer que Kane avait dépassé l’accès autorisé à un ordinateur protégé afin de commettre une fraude.^[1]

Le tribunal a conclu qu’ils ne l’avaient pas démontré de manière suffisante.^[1] Kane avait accès à la machine en tant que joueur. Il utilisait l’interface telle qu’elle lui était présentée. Il n’était entré dans aucune zone interdite du système. Il n’avait obtenu aucune information qu’il n’était pas autorisé à obtenir. Il n’avait pas forcé la machine à faire quelque chose en dehors de ses commandes normales. Il avait simplement trouvé une séquence exploitable à l’intérieur de l’expérience utilisateur ordinaire.^[1]

Cela ressemble à une technicité étroite jusqu’à ce qu’on réalise à quel point la vie moderne repose sur cette distinction. Beaucoup de conflits juridiques en matière de mauvais usage informatique reviennent à se demander si « non autorisé » signifie s’introduire dans un système, ou simplement utiliser un système accessible d’une manière désapprouvée. L’affaire Kane s’est rangée du côté de l’interprétation la plus étroite. Un mauvais comportement, même très lucratif, n’est pas automatiquement la même chose qu’un accès non autorisé.^[1]

Le problème du casino caché dans le problème informatique

Les casinos détestent l’asymétrie. Leur modèle économique dépend de règles fixes, publiques, et mathématiquement inclinées en leur faveur. Kane a trouvé une asymétrie qui fonctionnait dans l’autre sens. La machine avait l’avantage de la maison, jusqu’au moment où son propre logiciel a oublié la chronologie de la mise.

C’est ce qui rend l’histoire si satisfaisante. Kane n’a pas vaincu la probabilité. Il a vaincu l’implémentation. Il n’a pas découvert une nouvelle stratégie de jeu. Il a découvert que la comptabilité interne de la machine comportait une faille. Pour le casino, cela a pu ressembler à de la triche. Pour le tribunal, cela ressemblait davantage à une machine de casino qui tarifait mal une transaction.

Il y a une raison pour laquelle ces affaires rendent les institutions nerveuses. Elles révèlent que le véritable pouvoir, dans beaucoup de systèmes, ne réside pas dans les règles écrites mais dans le code qui les met en œuvre. Si le code applique mal les règles, le système peut commencer à verser des absurdités avec un parfait sérieux.

Pourquoi il a gardé l’argent

La version populaire de l’histoire est que Kane « a pu garder l’argent », et c’est en grande partie pour cela qu’on se souvient de l’affaire.^[1] Mais la raison plus profonde n’est pas que le tribunal aurait célébré ce qu’il a fait. C’est que la théorie juridique choisie par le gouvernement ne correspondait pas assez bien aux faits. Les requêtes en rejet ont été accueillies parce que l’accusation n’avait pas satisfait à l’exigence de « dépassement d’accès autorisé » prévue par le CFAA.^[1]

Cela compte bien au-delà des casinos. L’affaire s’inscrit dans un conflit beaucoup plus vaste sur l’ampleur avec laquelle les lois sur la criminalité informatique doivent être interprétées.^[1] Si appuyer sur la mauvaise séquence de boutons autorisés sur une machine boguée peut devenir du piratage fédéral, alors une grande quantité de comportements opportunistes ordinaires commence à glisser vers la criminalisation par métaphore. La décision Kane a résisté à cette tendance.

Elle a dit, en substance, qu’une faille logicielle n’est pas la même chose qu’une porte verrouillée. Et qu’exploiter un processus défectueux n’est pas automatiquement la même chose que pénétrer dans un espace interdit.

L’étrange morale du fait de laisser la machine décider

Il y a quelque chose de presque philosophique dans tout cet épisode. Les casinos demandent aux joueurs de faire confiance à la machine quand elle leur dit qu’ils ont perdu. Kane, lui, a fait confiance à la machine quand elle lui a dit qu’il avait gagné. Le casino voulait que cette confiance ne fonctionne que dans un seul sens.

C’est là, au fond, la tension au cœur de United States v. Kane. Un système informatisé a offert à un utilisateur un résultat que le système lui-même avait rendu possible. L’utilisateur comprenait mieux la faille que le propriétaire. Le propriétaire a appelé cela une fraude. Le droit, du moins dans cette affaire, n’était pas prêt à appeler cela un piratage.^[1]

Et c’est ainsi que John Kane s’est retrouvé dans l’une de ces rares niches historiques réservées aux gens qui trouvent la fissure invisible d’un système numérique et la franchissent sans avoir techniquement escaladé quoi que ce soit. On ne l’a pas accusé d’avoir forcé l’ouverture de la machine. On l’a accusé de l’avoir trop bien comprise.

Sources

1. Wikipedia - United States v. Kane