Cyber Karpman
Divulgâchage : Grande figure de l’analyse transactionnelle, ce triangle peut se jouer en informatique. Des joueurs passionnés vous feront vivre des parties mémorables.
Aussi appelé triangle dramatique, ce jeu psychologique a été synthétisé par le psychiatre Stephen B. Karpman (duquel il tire son nom) en 1968 à partir des nombreuses variantes de jeux psychologiques identifiés à cette époque (Internet n’existait pas, il fallait bien s’occuper).
Dans ce jeu, les joueurs ont chacun un problème à résoudre. Mais comme ils préfèrent jouer, ils doivent éviter de le résoudre. Pour y arriver, ils vont endosser l’un des trois rôles suivants :
- La Victime : est dans l’incapacité de résoudre son problème. Ce n’est pas sa faute car les freins et blocages sont nombreux et insolubles (quand ils ne sont pas placés là par le persécuteur !). Elle réclame donc de l’aide extérieure.
- Le Sauveur : esquive son problème en s’occupant de celui de la victime. Ce rôle rapporte des Points (de valorisation sociale) et le sauveur a donc intérêt à se maintenir à ce poste le plus longtemps possible (en évitant de résoudre le problème).
- Le Persécuteur : utilise sa colère (et le côté sombre de la Force) pour manipuler la victime en espérant que ça résolve un problème (sans mettre fin au jeu, c’est donc un rôle difficile à tenir).
On peut théoriquement y jouer à trois mais c’est bien plus amusant à deux. Dans cette version, un rôle est donc vacant et va permettre à un joueur de l’occuper (en quittant son rôle précédent). Exemple classique : constatant que, malgré l’assistance d’un sauveur, le problème d’une victime n’avance pas, un des joueurs peut échanger sa place avec le persécuteur et reprocher à son partenaire de jeux son manque d’efficacité.
Ce changement de rôle est source de malaise pour le partenaire qui ne s’y attendait pas (et fait ainsi gagner des points bonus). Heureusement, il peut tenter de revenir au score en échangeant lui aussi son rôle avec celui laissé vacant. La partie se poursuit par une danse où chacun engrange des points au fil des rôles occupés et des changements. On a vu des joueurs professionnels particulièrement adroits effectuer des double-flip, changeant deux fois de rôles en une seule phrase.
Pour les championnats les plus prestigieux, les joueurs s’octroient des pauses régulières pour se reposer (certaines parties durent depuis plusieurs années). La tenue des scores devient un problème et l’aide de commissaires est alors sollicitée ; un prétexte pour introduire de nouveau joueurs dans l’arène et multiplier les parties.
Et comme vous allez le voir, ce jeu a été adapté à l’informatique et vous permettra de passer de grands moments ludiques avec vos amis, vos collègues et tous les cyber-joueurs qui s’y sont converti et n’attendent que vous pour une petite partie.
En sécurité informatique
S’il y a bien un domaine qui abuse du triangle, c’est bien la sécurité informatique. Prenez cette histoire de chapeaux et ses whites hats qui vous sauvent des black hats, ajoutez-y ces grey hats qui avouent alterner les rôles et vous avez tout dit…
Paradoxalement, les black hats jouent très mal au triangle. Ils endossent volontiers le rôle de persécuteur lors de leurs attaques informatiques. Mais une fois l’exploit réalisé, ils ont atteint leur objectif, résolu leur problème et mis fin à la partie. Sans marquer de points. Ce qui les obligent à trouver de nouveau partenaires de jeu.
Dans la même idée, les cyber-criminels y jouent aussi mal. Leur cryptage des fichiers par ransomware les places en persécuteur, force leurs victimes à trouver un sauveur. Si la rançon est payée, c’est eux et sinon c’est un prestataire qui endossera ce rôle mais dans les deux cas, leur partie est finie et ils doivent trouver un nouveau joueur.
Les premiers vrais joueurs se rencontrent chez les bug hunters. Le principe n’a l’air de rien : on leur a promis une récompense s’ils trouvaient une faille. Mais c’est du vent marketing car le client veut juste dire que sa sécurité est importante, sans y consacrer de ressources. Lorsqu’ils cherchent une faille, les bug hunters sont de fait des persécuteurs. Ils se présenteront comme sauveurs lorsqu’ils en trouveront une mais ça ne résout pas le problème de la victime qui va danser en prenant le rôle du persécuteur laissé vacant ; la faille est hors périmètre, a déjà été notifiée par un autre, ou son score CVSS est bien trop bas pour mériter une récompense. Le bug hunter devient alors une victime… D’où l’apparition des plateformes en ligne qui tiennent lieu de commissaire.
Mais les meilleurs équipes se trouvent chez les whites hats qui ont compris que pour gagner, il fallait régulièrement changer de rôle. Imitant les équipes de football américain, on y distingue deux escouades :
- La red team qui attaque. Ses pentesters et auditeurs ont pour but de trouver les failles dans la défense du client pour bien lui faire comprendre qu’il n’est pas au niveau et n’arrivera jamais à résoudre son problème de sécurité par lui-même.
- La blue team qui défend. Ses analystes et consultants prennent en main la sécurité du client à sa place à grand renforts d’outils intrusifs coûteux et autres contraintes organisationnelles. Car les points de valorisation sociales sont ici convertibles en euros.
L’art commercial consiste alors à alterner les escouades à bon escient. La red team effectue quelques piqûres de rappels régulières pour renforcer la dépendance du client à la blue team. Ça marche à moyen termes mais sur le long termes ça pose des problèmes.
Sur la durée, il arrivera que la blue team fasse une boulette. C’est humain, c’est inévitable, et c’est arrivé à crowdstrike qui a déployé un bogue chez ses clients ; et fait planter les systèmes qu’elle était sensé protéger. Le sauveur s’est transformé en persécuteur.
Mais il arrivera aussi qu’une véritable attaque réussisse. Après tout, un pirate n’a besoin d’avoir de la chance qu’une seule fois alors que la blue team doit en avoir à chaque fois. L’industriel ne peut pas admettre avoir échoué à sa mission et va donc proposer que sa red team effectue un audit pour déterminer les causes (lire : les responsabilités chez la victime) et axes d’amélioration (lire : opportunités de sauvetage commercial). Encore une fois, le sauveur se transforme en persécuteur.
Enfin, face aux échecs répétés, l’industriel peut perdre la confiance de son client qui va se tourner vers la concurrence. Celle-ci proposera alors un nouvel audit ayant pour but d’inventorier l’existant (lire : les défaillances de la précédente blue team). La victime se transforme en persécuteur (de l’industriel/sauveur qui, malgré lui, prend une position de victime). Cette distribution bizarre ne dure pas longtemps, le client reprend sa position de victime, le concurrent installe une nouvelle blue team pour le sauver et l’ancienne se trouve un nouveau client à sauver.
La solution est évidement d’internaliser la gestion de la sécurité mais il y a des pièges. Confier cette tâche à un RSSI (Responsable de la Sécurité des Systèmes d’Information) ne fait qu’internaliser le triangle. On confie alors le problème à un sauveur en considérant le reste de l’entreprise comme une victime. Et le jeu reprend de plus belles.
Le piège est identique avec la souveraineté numérique. L’idée de départ, reprendre le contrôle de son infrastructure, est trop souvent dévoyées pour remplacer des acteurs étrangers par des nationaux. Mais la nationalité des acteurs ne change rien à la forme de la relation qui reste un triangle.
La clé pour s’en sortir : chacun doit assurer sa propre sécurité.
En expertises civiles
Sans rien envier aux professionnels de la sécurité, on trouve aussi de très bons joueurs dans l’industrie informatique de manière générale. Un client a un problème informatique et a trouvé un prestataire pour s’en charger.
On a une bonne base pour jouer et il suffit d’un coup de pouce du destin pour démarrer la danse. Une sauvegarde qui échoue, un réseau ou une application qui marche pas ou encore un client qui ne paye pas. Des avocats ont appelé un juge qui nous a confié l’affaire avec pour mission d’y voir plus clair.
Dans beaucoup de cas, les parties cherchent, sincèrement, à (com)prendre leurs responsabilités et ont besoin que nous apportions un regard extérieur pour les y aider. Après avoir discuté avec les parties, étudié les pièces, fait quelques opérations techniques pour vérifier quelques hypothèses, le brouillard se lève suffisamment pour y voir assez clair et trouver un consensus. L’issue est alors le plus souvent amiable, les parties se quittent en relativement bon termes.
Mais dans certains cas, le prestataire devait implicitement sauver le client. Ils ont dansé un certain temps en accumulant les petites erreurs jusqu’à provoquer une avalanche qui a englouti le projet. Les parties en ont perdu le compte des points et nous demandent de rétablir le score.
Initialement, le client explique sa position de victime impuissante qui espérait que le prestataire le sauve. Face à l’insuccès qu’on constate, le client explique alors la faute du prestataire. L’argumentaire consiste principalement à dénigrer systématiquement le prestataire. Cette persécution ayant pour but d’obtenir réparation.
C’est au tour du prestataire de jouer. Il va prendre le rôle de victime laissé vacant par le client. Pour ça, il va d’abord lister les préjudices moraux et financiers subits. Puis, une fois le rôle endossé, expliquer que les problèmes qu’il a rencontré n’étaient pas de son fait. Ce n’est pas sa faute et il n’y est pour rien.
C’est alors au client de répondre. Continuer à dénigrer ne ferait que renforcer la position de victime du prestataire (et donc sa position de persécuteur), il change de stratégie, ou plutôt de rôle et se pose en sauveur. Il va alors lister tous les efforts consentis pour résoudre les problèmes rencontrés par son prestataire. Acomptes, délais, avenants, prêts de personnels,… il fait tout pour sauver le projet et le prestataire.
À ce stade de la partie, les rôles sont inversés. Mais le problème n’est pas résolu et la partie continue. Le client étant en sauveur, il n’a pas intérêt à bouger.
C’est donc le prestataire qui prend l’initiative. En position de victime, rien n’est de sa faute, c’est donc celle du client. Comment ? Il n’a pas respecté ses obligations de coopération. Il n’a pas fourni des équipements ou ressources nécessaires, il n’a pas répondu correctement aux sollicitations du prestataires, il a voulu changer des paramètres du projet, il n’a pas payé les acomptes,… Ce client est donc un très mauvais client.
Tout comme le prestataire l’a fait, le client passe alors en position de victime. Il a effectivement rencontré des problèmes, mais aucun n’est de sa faute. Il n’y pouvait rien si les ressources n’ont pas été disponibles, s’il a fallu du temps pour réunir les informations et corriger les spécifications.
Pour terminer, le prestataire peut alors lister tous les efforts qu’il a fait pour résoudre ces problèmes rencontrés par le client. La mise en place de ses propres ressources, les nombreuses relances et le référentiel documentaire (et contractuel). Il a objectivement tout fait pour sauver le projet et le client.
Et ça continue, encore et encore… Jusqu’à ce qu’on dépose notre rapport.
Attention au piège : Chaque fois qu’une partie prend position en victime d’un persécuteur, elle appelle l’expert à compléter le triangle en sauveur. Le but n’est pas de trouver la Vérité (ou un consensus) mais de recruter un joueur qui vienne danser avec eux.
En shitification
Pour les amateurs du triangle, de nombreuses plateformes ont été mises en ligne pour pouvoir y jouer partout où une connexion internet est disponible (e.g. dans l’auto, dans le salon, dans le chalet, dans les toilettes, dans le bureau,…).
On commence par des utilisateurs qui ont un problème qu’ils ne veulent pas résoudre par eux même et vont chercher un éditeur prêt à les sauver. De son côté, l’éditeur ne veut pas résoudre son problème mais rester en position de sauveur pour gagner des points puis les convertir en euros. Le triangle est donc en place et les joueurs vont pouvoir danser.
Mais quel seront leurs mouvements ?
- L’éditeur peut bombarder ses utilisateurs de messages non sollicités ou restreindre certaines fonctions de l’application (il persécute la victime). L’utilisateur paye alors un abonnement pour éviter ces publicités en espérant résoudre le problème de l’éditeur (le client sauve l’éditeur victime).
- Insatisfait du service fourni, Le client va dénigrer l’éditeur en espérant une réaction de sa part (il le persécute). Ça ne marche que si les utilisateurs sont initialement en position de sauver l’éditeur (i.e. ils payent un abonnement essentiel pour lui) car en laissant la place de sauveur vacante, l’éditeur peut s’y déplacer pour sauver les utilisateurs, victimes d’un choix stratégique de développement.
- Lorsque ça ne marche pas, les utilisateurs insatisfait se tournent vers d’autres applications similaires. Ils aduleront d’abord ce nouveau sauveur (surtout s’il a migré les données) mais finirons inévitablement par en être déçu et la danse reprendra.
Certains parlent d’emmerdification. D’abord les plateformes cherchent à satisfaire leurs utilisateurs. Puis elles s’en détournent pour satisfaire leurs partenaires (i.e. publicitaires ou fournisseurs). Puis s’en détournent pour satisfaire leurs actionnaires. La solution consisterait à rendre ces plateformes neutres et interopérables.
Personnellement, je n’y vois qu’une danse triangulaire : les plateformes prennent alternativement les rôles de sauveur, de persécuteur et de victime. Et la solution proposée n’en changera pas la forme car elle considère l’utilisateur incapable de se passer d’une plateforme pour résoudre son problème.
Prenons l’exemple du fediverse, une plateforme de réseau social qui respecte exactement ces principes de neutralité et d’interopérabilité. Si vous vous y rendez en espérant y être sauvé, vous y reproduirez la même danse. Vous trouverez que votre instance est mal administrée, que les modérateurs sont mauvais, que le logiciel n’est pas si bien conçu et autres défauts, bogues et pannes qui vous feront changer d’instance ou d’application. Et vous en reviendrez déçu.
Si vous avec un problème informatique, résolvez-le vous-même. C’est ce que nous avons fait ; on diffuse via notre propre site, on notifie avec notre flux RSS et on communique avec les courriels. Et on s’en porte que mieux.
En général
Si vous êtes joueurs, vous trouverez plein d’autres occasions de jouer. On ne va pas les lister toutes mais voici une petite liste si vous êtes en manque d’idées.
Installer un logiciel de contrôle parental : Les enfants victimes ont besoin d’un logiciel pour les sauver. Divulgâchage : ça marchera pas.
Installer un ENT à l’école : Les enfants, parents et enseignants ont besoin d’être sauvés par ce logiciel de messagerie tout en un. Conclusion, tout le monde est encore plus stressé.
Utiliser des IA: Nous serions trop occupés (ou incompétents) pour avoir de belles photos ou trouver nos réponses par nous-même. Heureusement, des IA sont là pour nous sauver.
Utiliser des frameworks : Les développeurs et administrateurs ont besoin de ces couches d’abstractions qui cachent les détails sous-jacent . Avantage : on peut toujours empiler des couches, mais ça fait que reporter le problème.
Software Supply Chain : Les entreprises exploitent des logiciels développés par des bénévoles puis s’offusquent des bogues. Bonus : npm et composer permettent d’automatiser la dépendance.
DOH - DNS via HTTP : Pour éviter que je sois victime d’espions et de DNS menteurs, Firefox me sauve en redirigeant toutes mes requêtes à Cloudflare… Du coup ça contourne mon bloqueur de publicité et j’ai du faire une configuration spécifique pour bloquer le DoH…
Et après ?
Cette grille de lecture triangulaire permet de reconnaître beaucoup de situations toxiques. Lorsque vous êtes confrontés à un logiciel, un service client ou un message marketing qui vous met mal à l’aise (ou en colère), il y a de fortes chances pour qu’il s’agisse d’un triangle déguisé. Pour s’en assurer, il suffit de chercher quel rôles sont en présence.
Et lorsque la grille s’applique, la solution est plutôt simple : faire un pas de côté pour quitter la danse, prendre une bonne respiration pour reprendre le contrôle et reconnaître à qui appartient le problème pour pouvoir y réagir efficacement.