Le 6 avril 2021, un patch était posté sur la liste de discussion des développeurs du noyau Linux (LKML). Écrit par Aditya Pakki, un doctorant de l’Université du Minnesota, ce patch, en apparence trivial (trois lignes) et franchement indistinguable des milliers d’autres qui s’échangent sur la LKML, allait in fine provoquer quinze jours plus tard le bannissement de toutes les contributions au noyau en provenance de l’Université du Minnesota.
Que s’est-il passé au juste ?
Sommaire
- Le détail des faits
- En quoi le « papier des commits hypocrites » est problématique ?
- Le noyau Linux est-il vulnérable aux « commits hypocrites » ?
- Les développeurs noyau ont-ils réagi de manière excessive ?
- Pour aller plus loin
Le détail des faits
Été 2020
L’histoire commence en fait l’été précédent, lorsque cinq patchs distincts sont soumis aux développeurs du noyau.
Le 4 août 2020, un dénommé « James Bond » propose un patch supposé corriger une fuite de mémoire. Le patch est ignoré.
Le 9 août 2020, le même « James Bond » propose un autre patch aussi supposé corriger une fuite de mémoire. Le patch est rejeté d’emblée le lendemain, le problème qu’il était supposé corriger n’en étant pas un.
Le 20 août 2020, un dénommé « George Acosta » propose un patch supposé corriger un problème avec un compteur de références. Le patch est rejeté le jour même, non que le problème n’en soit pas un mais la correction proposée n’est pas bonne.
Aussi le 20 août, le même « George Acosta » propose un autre patch pour que le noyau envoie un message dans les journaux du système lorsqu’une certaine condition d’erreur se présente. Le patch est accepté une semaine plus tard et intégré dans la branche de développement de Herbert Xu, un des mainteneurs du sous-système « crypto » du noyau.
Le 21 août, « James Bond » à nouveau propose un patch supposé corriger un comptage de référence. Une semaine plus tard, un développeur noyau suggère une meilleure approche, ce à quoi « James Bond » répond qu’après vérification, il s’est rendu compte que son patch est inutile de toute façon.
Ces patchs n’ont rien de vraiment remarquable, si ce n’est l’utilisation évidente de pseudonymes par leurs auteurs (George Acosta est le nom d’un footballeur américain, et faut-il réellement préciser que « James Bond » est le nom d’un personnage de fiction ?), quelque chose d’assez inhabituel sur la LKML — les développeurs du noyau postent généralement sous leur vrai nom, comme sur beaucoup d’autres listes liées au logiciel libre en fait. Quoi qu’il en soit, rien à l’été 2020 ne permet de soupçonner que ces patchs cachent quelque chose.
Annonce du papier “hypocrite commits”
En novembre 2020, Qiushi Wu et Kangjie Lu, deux chercheurs de l’Université du Minnesota (respectivement doctorant et professeur, le premier faisant sa thèse sous la direction du second), annoncent qu’un de leurs articles, appelé “On the Feasibility of Stealthily Introducing Vulnerabilities in Open-Source Software via Hypocrite Commits”, a été accepté pour présentation au 42ᵉ Symposium de l’IEEE sur la sécurité et la vie privée (« S&P 2021 »). L’annonce est faite sur Twitter dans un tweet depuis supprimé, mais conservé par Internet Archive.
À ce moment-là, l’article n’est pas encore publiquement disponible. Au-delà de ses auteurs, seuls les relecteurs du comité d’organisation du symposium S&P 2021 ont eu accès au texte intégral. N’est publiquement disponible que le résumé (abstract), visible dans la copie d’écran de la première page de l’article telle qu’elle figure dans le tweet d’annonce.
Le résumé permet de comprendre que cet article, qu’on appellera par la suite et dans le reste de cette dépêche le hypocrite commits paper (« papier sur les commits hypocrites »), s’intéresse à la possibilité pour un attaquant d’introduire une vulnérabilité dans un logiciel libre, via la voie normale de soumission de patchs, en misant sur la complexité du logiciel libre ciblé. En quelques mots, le principe est de proposer un patch très simple, de quelques lignes seulement et qui, à première vue, ne fait que corriger un bug mineur — mais qui, en réalité introduit aussi une vulnérabilité dans une autre partie du code. Le pari de l’attaquant est que les développeurs en charge de relire le patch proposé ne réaliseront pas son impact réel, caché par la complexité de la base de code. C’est ce que Qiushi Wu et Kangjie Lu entendent par « commit hypocrite ».
Surtout, le résumé mentionne que les auteurs ont démontré la faisabilité d’introduire des vulnérabilités via des commits hypocrites, en prenant le noyau Linux comme exemple :
As a proof of concept, we successfully introduce multiple exploitable use-after-free in the latest Linux kernel (in a safe way).
(« Comme preuve de concept, nous sommes parvenus à introduire plusieurs vulnérabilités de type use-after-free, exploitables, dans le dernier noyau Linux (de façon sûre). »)
Comme seul le résumé est disponible, il est impossible en novembre 2020 de savoir ce que les chercheurs ont fait exactement, ou d’établir un lien avec les patchs de « James Bond » et « George Acosta » mentionnés ci-dessus. Mais en l’absence de détails, la perspective d’un noyau Linux rendu délibérément vulnérable par des chercheurs dans le seul but de démontrer leur approche suscite immédiatement un certain émoi, et plusieurs personnes interpellent Kangjie Lu sur Twitter suite à son annonce.
Parmi elles, Sarah Jamie Lewis, cryptologue et directrice de l’Open Privacy Research Society, pointe particulièrement du doigt les problèmes éthiques liés à l’expérimentation sur des sujets humains (les sujets étant ici les développeurs du noyau). En décembre, elle se joint à Morten Linderud (membre de l’équipe sécurité d’Arch Linux), Santiago Torres-Arias (professeur à l’Université de Purdue), et René Mayrhofer (professeur à l’Université de Linz et ancien directeur de l’équipe sécurité d’Android chez Google), pour adresser une lettre ouverte au comité d’organisation du Symposium S&P 2021. Outre les considérations éthiques déjà mentionnées sur Twitter, le courrier pointe également les risques que l’expérience des « commits hypocrites » fait peser non seulement sur la sécurité du noyau Linux (si des failles ont bien été introduites comme le résumé le prétend ouvertement) mais aussi plus généralement sur les relations entre les développeurs de logiciels libres et le monde académique. Pour ces raisons, il est demandé au comité de revenir sur sa décision d’accepter la présentation du papier lors du symposium. Ce courrier restera sans réponse.
Novembre-décembre 2020, début du rétro-pédalage
Quelques jours à peine après l’annonce du papier, les auteurs commencent à réagir sur Twitter aux critiques qui leur sont adressées. Le 22 novembre par exemple, Kangjie Lu affirme que “no bug was ever merged into code”. Le lendemain, le tweet d’annonce est supprimé et Kangjie promet des « éclaircissements » à venir. À partir de là les deux auteurs ne répondent plus à aucune sollicitation sur Twitter concernant leur papier.
Les « éclaircissements » promis arrivent le 15 décembre, dans une FAQ publiée sur la page personnelle de Kangjie Lu sur le site de l’Université du Minnesota. Les chercheurs y affirment clairement « n’avoir jamais introduit, ni avoir eu l’intention d’introduire, le moindre bogue ou la moindre vulnérabilité dans le noyau Linux » — en flagrante contradiction avec ce qu’ils affirmaient dans le résumé de leur article un mois plus tôt.
Selon cette FAQ, la procédure suivie par les chercheurs durant leur preuve de concept était la suivante :
- le chercheur soumet un patch hypocrite aux développeurs du noyau sur la LKML ;
- un développeur noyau annonce que le patch lui semble bon et qu’il va donc l’intégrer ;
- le chercheur répond alors immédiatement avec un message du genre « non attendez, je viens de me rendre compte que ce patch introduit un problème ailleurs, ne l’intégrez pas ».
Cette procédure, expliquent les auteurs, garantit donc qu’à aucun moment les patchs hypocrites ne sont intégrés dans une branche quelconque du noyau Linux, encore moins dans la branche de Linus et donc dans une version publiée. Ils expliquent également que la procédure a concerné au total trois patchs hypocrites, et qu’à chaque fois les développeurs du noyau ont bien confirmé n’avoir pas intégré le patch.
À ce stade-là toutefois, ni les patchs en question ni les pseudonymes utilisés par les chercheurs ne sont encore dévoilés, donc il n’y a encore aucun moyen pour les développeurs du noyau (ou pour qui que ce soit d’autre d’ailleurs) de vérifier les dires des chercheurs.
Publication du pre-print
Au cours du premier trimestre 2021, un pre-print du papier “hypocrite commits” est publié par Qiushi Wu sur son compte GitHub. La date exacte de publication est inconnue (en tout cas je ne l’ai pas trouvée), mais le PDF est daté du 10 février.
Avril 2021, l’affaire éclate
En avril 2021, Additya Pakki, doctorant dans l’équipe de Kangjie Lu à l’Université du Minnesota, commence à proposer plusieurs patchs supposés corriger des bugs qui auraient été détectés par l’analyseur de code qu’il développe dans le cadre de sa thèse. Ces patchs sont de qualité douteuse et l’un d’eux, le 6 avril, va être la proverbiale goutte d’eau qui fait déborder le vase. Après que plusieurs développeurs eurent pointé que le problème supposément corrigé par le patch n’en était pas un, Greg Kroah-Hartman, responsable de la branche -stable
du noyau, accuse ouvertement Additya Pakki, le 20 avril, de soumettre délibérément des patchs qu’il sait incorrects, ce qui n’est pas sans provoquer l’étonnement d’autres développeurs noyau qui n’étaient pas forcément au courant de l’histoire autour du papier « hypocrite commits » :
(Greg Kroah-Hartman, répondant à Additya Pakki) Merci d’arrêter de soumettre des patchs que vous savez incorrects. Votre professeur a d’étranges manières d’obtenir un papier en abusant du processus de relecture des patchs.
(Bruce Fields, mainteneur de NFS) C’est quoi cette histoire ?
(Leon Romanovsky, développeur embarqué) Ces patchs font partie de ce projet de recherche : https://github.com/QiushiWu/QiushiWu.github.io/blob/main/papers/OpenSourceInsecurity.pdf
Ils introduisent des bogues dans le noyau délibérément. Hier, j’ai jeté un œil à quatre patchs d’Additya qui ont été acceptés et trois d’entre eux ajoutaient des « trous » de sécurité d’une manière ou d’une autre.
Les échanges entre Additya Pakki et Greg Kroah-Hartman dégénèrent rapidement, le premier accusant le second de diffamation et reprochant à la communauté des développeurs noyau d’être hostile aux nouveaux-venus. La réponse de Greg Kroah-Hartman le 21 avril, dans laquelle il annonce le rejet préventif de toutes les contributions en provenance de l’Université du Minnesota et le retrait de toutes les contributions antérieures, va faire le tour du web :
Vous et votre équipe de recherche avez publiquement reconnu avoir soumis des patchs bogués en connaissance de cause, juste pour tester la réaction des développeurs noyau. Vous avez carrément publié un papier là-dessus.
Voilà maintenant que vous soumettez à nouveau un ensemble de patchs dont il est évident qu’ils sont incorrects. Qu’est-ce que je suis censé en conclure ?
[…]
Notre communauté n’apprécie guère d’être traitée comme un sujet d’expériences, et d’être « testée » par quelqu’un qui soumet délibérément des patchs qui ne servent à rien ou, pire, qui introduisent des bogues.
[…]
En conséquence, je vais maintenant devoir bannir toutes les contributions en provenance de votre Université, et dégager toutes vos contributions précédentes, puisqu’il est clair qu’elles ont été soumises de mauvaise foi dans l’intention de causer des problèmes.
À partir de là, les choses vont aller très vite (sauf sur LinuxFR.org). Le même 21 avril, Greg Kroah-Hartman envoie une première liste de 190 patchs soumis par des contributeurs avec une adresse en @umn.edu
et préalablement acceptés, afin qu’ils soient revus à nouveau et annulés (reverted) si besoin.
Dans le même temps, l’utilisateur neoflame sur Hacker News annonce avoir probablement identifié les trois patchs hypocrites décrits dans le papier : il s’agit des deux patchs de « George Acosta » du 20 août 2020, et du patch de « James Bond » du 9 août. Cette découverte met en évidence deux choses :
- deux des trois patchs ont été rejetés d’emblée par les développeurs noyau, et le troisième n’introduit pas, en réalité, de vulnérabilité — autrement dit, la « preuve de concept » avancée par les chercheurs, censée démontrer la faisabilité d’introduire des vulnérabilités dans un logiciel libre en trompant la vigilance des mainteneurs… a échoué à faire exactement ça (un « détail » que les chercheurs n’ont pas jugé utile de mentionner) ;
- les chercheurs ont utilisé des pseudonymes avec des adresses non-affiliées à l’Université du Minnesota (un autre « détail » qui n’apparaît pas dans le papier).
Ce dernier point signifie notamment que les développeurs noyau ne peuvent pas se fier aux adresses associées aux patchs, que ce soit pour identifier tous les patchs hypocrites déjà soumis ou pour bloquer toute nouvelle tentative de soumettre de tels patchs.
Investigations et résolution
En quelques jours, l’affaire n’est plus cantonnée aux listes de discussion du noyau Linux, et remonte au « niveau supérieur » chez les deux parties. Du côté des chercheurs, la direction du département Computer Science & Engineering (CS&E) de l’Université du Minnesota annonce le 21 avril avoir suspendu les travaux de recherche concernés et promet une investigation. Du côté du noyau, le Technical Advisory Board de la Linux Foundation s’empare du dossier le 22 avril.
Le 23 avril, la Linux Foundation demande formellement à l’Université du Minnesota de :
- divulguer les détails permettant d’identifier tous les patchs hypocrites soumis par les chercheurs de l’université dans le cadre de tous leurs travaux, sur tous les projets libres ciblés (et pas seulement le noyau Linux, si jamais d’autres projets ont aussi fait l’objet d’expérimentations similaires) ;
- rétracter le « papier des commits hypocrites », et tout autre papier ou présentation résultant des mêmes pratiques ;
- garantir que tous les futurs projets de recherche de l’université impliquant des personnes ne pourront démarrer qu’après avoir été dûment validés par le comité d’éthique (Institutional Review Board, IRB) de l’université ;
- garantir que ces mêmes projets ne seront possibles qu’avec le consentement explicite des personnes impliquées dans l’expérience.
La réponse de l’Université du Minnesota se fait en trois temps.
- Le 26 avril, Qiushi Wu et Kangjie Lu contactent les organisateurs du symposium S&P 2021 pour demander la rétractation de leur papier.
- Le lendemain, ils publient leur « full disclosure », révélant pour la première fois quels sont les « patchs hypocrites » de leur expérience. Ce document confirme essentiellement les découvertes de l’utilisateur neoflame mentionnées ci-dessus. Ce sont les cinq patchs évoqués au début de cette dépêche. Comme on l’a vu, un seul de ces patchs a été accepté par les développeurs du noyau. Ce patch était supposé être un « patch hypocrite », mais s’est avéré en réalité être un patch valide, n’introduisant aucune vulnérabilité. Les quatre autres patchs ont été rejetés ou ignorés. Tous les autres patchs jamais envoyés par des chercheurs de l’université (dont ceux d’Additya Pakki, qui ont fait éclater l’affaire) ont été soumis de bonne foi, et aucun autre projet que le noyau n’a été visé.
- Le 27 avril, l’université répond formellement à la Linux Foundation.
En parallèle, les développeurs du noyau continuent le travail de révision de tous les patchs en provenance de l’Université du Minnesota, initié par Greg Kroah-Hartman le 21 avril. Ce travail s’achève le 5 mai, avec la publication du rapport du Technical Advisory Board de la Linux Foundation.
Au final, 442 patchs acceptés dans le noyau ont été revus (le rapport en donne la liste complète), dont ;
- 364 étaient corrects ;
- 39 étaient problématiques et ont nécessité une correction ;
- 27 étaient problématiques lors de leur soumission mais ont été corrigés ou retirés avant le début de l’affaire ;
- 12 étaient problématiques lors de leur soumission mais concernaient des parties du code qui ont depuis été retirés du noyau.
(Note : le rapport dit en résumé que 435 patchs ont été revus, mais donne une liste de 442 patchs ; les chiffres ci-dessus sont extraits de cette liste, pas du résumé — la liste a sans doute été mise à jour peu de temps avant la conclusion du rapport, sans que le résumé ne soit mis à jour en conséquence.)
En quoi le « papier des commits hypocrites » est problématique ?
Ce n’est certes pas la première fois que des chercheurs en informatique se penchent sur le noyau Linux et sa sécurité. Normalement, l’intérêt des chercheurs pour le noyau est vu favorablement comme une opportunité d’améliorer ce dernier. Mais ici, les travaux de Qiushi Wu et Kangjie Lu sont problématiques, pour deux grosses raisons.
Le « papier sur les commits hypocrites » est contraire à l’éthique
C’est le problème qui a sauté aux yeux de toute la communauté, dès l’annonce du papier — mais qui est initialement passé inaperçu des chercheurs, du comité d’éthique (Institutional Review Board ou IRB, dans le jargon académique américain) de l’Université du Minnesota, et du comité d’organisation du symposium S&P2021.
Manquements à l’éthique des recherches impliquant des sujets humains
Des « recherches impliquant des sujets humains » ? Pour un papier dont le sujet est un composant logiciel (le noyau Linux) ?
Eh bien oui ! Parce qu’en réalité, le sujet du « papier sur les commits hypocrites » n’est pas tant le noyau Linux lui-même que les personnes qui le développent — et qui, vérifications faites, sont bel et bien des êtres humains. La question à laquelle la preuve de concept décrite plus haut tente de répondre est bien « les personnes qui reçoivent les patchs envoyés sur les listes de discussion du noyau, et qui décident d’accepter ou non ces patchs, peuvent-elles se laisser avoir par des patchs hypocrites ? » Ce n’est pas le noyau qui accepte ou refuse un patch, mais bien ses développeurs et développeuses (à ce jour, aucune conscience autonome n’a encore émergé des sources du noyau — décevant, n’est-ce pas ?).
Or quand on veut réaliser des expériences sur des sujets humains, il y a des règles à respecter. Notamment, la participation des sujets à l’expérience doit être volontaire, ce qui implique qu’ils doivent être informés de l’expérience et qu’ils consentent à y participer.
Pour s’assurer du respect de ces règles, tout protocole expérimental impliquant des sujets humains doit être validé par un comité d’éthique, qui vérifie entre autres choses que le protocole prévoit bien l’information des participants et le recueil de leur consentement.
Ici, les chercheurs ont eux-mêmes reconnus, dans leur FAQ de décembre 2020 n’avoir pas initialement consulté le comité d’éthique de leur université, parce qu’il ne leur est jamais venu à l’esprit que leur travail constituait de la recherche sur des sujets humains (« nous étudions le processus de relecture des patchs, pas les comportements individuels »). Ce n’est qu’après les remarques suscitées par le tweet d’annonce que les auteurs ont finalement sollicité a posteriori l’avis de leur comité d’éthique, à la demande des organisateurs du symposium S&P2021.
On ne sait pas en quels termes les auteurs ont présenté leur projet au comité d’éthique. Mais celui-ci n’a apparemment pas tiqué à la seule mention du fait que les recherches avaient déjà été effectuées (alors que c’est en soi une grosse violation des règles : la validation du protocole par un comité d’éthique doit toujours précéder les recherches !), et surtout a conclu que les travaux ne relevaient pas de la recherche sur des sujets humains et en conséquence ne nécessitaient pas d’approbation de la part du comité.
Il semblerait, d’après les organisateurs du symposium S&P2021, que les auteurs aient fourni à leur comité d’éthique une description très incomplète de leur expérience, ce qui pourrait expliquer la décision favorable rendue par ledit comité. (« Une relecture approfondie des documents du comité d’éthique ont révélé de possibles problèmes dans la description des expériences, et a conclu que les auteurs n’avaient pas fourni suffisamment de détails à leur comité d’éthique. ») Décider si cette « insuffisance de détails » est le fruit d’un regrettable oubli de la part des chercheurs ou bien d’une omission délibérée dans le but d’obtenir un avis favorable est laissé en exercice aux lectrices et lecteurs.
On se demandera quand même de quels détails le comité d’éthique pouvaient bien avoir besoin pour correctement qualifier ces travaux de recherches sur des sujets humains, quand nombres d’internautes (et pas des moindres, comme on l’a vu plus haut avec Sarah Jamie Lewis et les co-auteurs de sa lettre ouverte aux organisateurs du symposium S&P2021) avaient vu l’aspect humain sur la seule base du tweet d’annonce et de l’abstract du papier.
Quelle que soit la duplicité des chercheurs, ni le comité d’éthique de l’université (qui leur a donné un blanc-seing a posteriori) ni le comité d’organisation du symposium S&P2021 (qui a accepté le papier et a ignoré les remarques de la communauté jusqu’à ce que l’affaire ne devienne trop grosse pour être ignorée) ne se sont particulièrement illustrés dans cette affaire.
Manquements aux règles du pen-testing et pratiques assimilées
Même si on accepte le point de vue initial des auteurs, selon lequel leurs travaux relèvent purement de la recherche en sécurité informatique et aucunement de la recherche sur des sujets humains, leur expérience n’est pas défendable. La recherche en sécurité informatique a aussi ses règles, et si elles ne sont peut-être pas autant codifiées que celles qui s’appliquent aux recherches humaines, elles n’en doivent pas moins être respectées.
Ici, deux règles au moins ont été violées :
On n’attaque pas un système informatique dans le but de tester ou démontrer sa vulnérabilité sans l’accord exprès des responsables dudit système — ne serait-ce que pour éviter d’être poursuivi pour piratage informatique !
Si on découvre une faille, l’usage veut qu’elle soit dévoilée aux responsables du système préalablement à la publication (responsible disclosure).
L’éthique, quelle importance ?
Possiblement le plus grave dans toute cette affaire, c’est à quel point elle révèle que tous les acteurs académiques impliqués se soucient autant de l’éthique que de leur première chaussette.
Dans le communiqué des organisateurs du S&P2021, on apprend ainsi que :
Le papier avait été relu par quatre relecteurs […] et avait reçu des notes très positives (2 scores « Accept » et 2 scores « Weak Accept », ce qui le plaçait dans le top 5 % de toutes les soumissions). […] Un membre du comité a brièvement mentionné un possible problème éthique dans son avis, mais ce commentaire ne suscita pas davantage de discussion à l’époque. Nous reconnaissons que nous sommes passés à côté.
Un « possible problème d’éthique », après tout c’est pas si grave, hein ? On ne va pas s’arrêter là-dessus, surtout pour un des meilleurs papiers qu’on ait reçus…
Dans leur lettre ouverte à la communauté, Kangjie Lu et ses collaborateurs écrivent :
Comme de nombreux observateurs nous l’ont fait remarquer, nous avons fait une erreur en n’essayant pas de consulter la communauté [des développeurs du noyau] et d’obtenir sa permission avant de réaliser cette étude ; nous avons procédé ainsi parce que nous savions que nous ne pouvions pas demander une permission [de soumettre des patchs hypocrites] aux mainteneurs du noyau, car sinon ils auraient été sur leurs gardes.
Que les auteurs puissent écrire ça, en dit long sur ce qu’ils pensent de l’éthique. Ils considèrent clairement que quand l’éthique s’oppose à la bonne conduite d’un projet de recherche, c’est l’éthique qui doit céder : pas question de renoncer au projet ou d’essayer de trouver une autre approche au motif fallacieux que l’approche envisagé serait contraire à l’éthique.
Je ne pensais pas que cela devait être dit, mais : en recherche, le respect des règles éthiques n’est pas optionnel ! Il n’est pas envisageable de ne respecter les règles éthiques que dans la mesure où elles ne vous contraignent pas trop.
Espérons que le premier « Atelier international sur l’éthique en sécurité informatique » (EthiCS 2022), qui doit se tenir cette année, fera progresser les choses. On regrettera tout de même que dans le comité d’organisation ne figurent que des spécialistes de la sécurité informatique et aucun spécialiste des questions éthiques, ce qui… encore une fois en dit long sur la place accordée à l’éthique dans le domaine, même dans un symposium supposément consacré à l’éthique !
Au moins l’un des deux présidents du comité d’organisation d’EthiCS 2022 aura une expérience personnelle à raconter, puisqu’il ne s’agit de personne d’autre que… Kangjie Lu, de l’université du Minnesota !
Le « papier sur les commits hypocrites » est frauduleux
Ce problème est semble-t-il passé complètement inaperçu, éclipsé par le problème de manquements à l’éthique. C’est pourtant un problème majeur, qui suffit à lui seul à discréditer le papier et à justifier sa rétraction.
Dans ce papier, Qiushi Wu et Kangjie Lu formulent l’hypothèse qu’un attaquant peut introduire des failles de sécurité dans un logiciel libre par la voie normale de contribution à ce logiciel, en misant sur le fait que les développeurs se laisseront abuser par l’apparence faussement triviale de patchs « hypocrites » — des patchs qui prétendent corriger un problème mineur mais qui par effets de bord introduisent des vulnérabilités dans d’autres parties du code.
Pour appuyer leur hypothèse, ils réalisent pendant l’été 2020 une expérience « preuve de concept », dans laquelle ils soumettent cinq patchs « hypocrites » aux développeurs du noyau Linux. Comme on l’a vu plus haut, un seul de ces patchs a été accepté par les développeurs, et ce patch n’introduisait en réalité aucune vulnérabilité (les chercheurs croyaient ce patch hypocrite, ils ont par inadvertance écrit un patch légitime) ; les quatre autres patchs ont été soit ignorés, soit explicitement rejetés.
Les résultats de l’expérience sont donc sans appel : la « preuve de concept » ne supporte pas du tout l’hypothèse des chercheurs. Au contraire, elle tendrait plutôt à montrer que les développeurs de logiciel libre (ou, au moins, les développeurs du noyau Linux) sont vigilants et examinent soigneusement toutes les contributions, même les plus triviales, et sont de fait peu susceptibles de se laisser berner par des « patchs hypocrites ».
Qiushi Wu et Kangjie Lu auraient pu, et auraient dû, rapporter ces résultats dans leur papier. À la place, ils ont choisi de présenter leur expérience en oblitérant complètement le fait qu’elle avait échoué. Il n’est fait nulle mention du fait qu’ils n’ont en réalité pas réussi à faire accepter un seul « patch hypocrite » dans le noyau. Au contraire, ils laissent clairement sous-entendre que l’expérience a été un succès :
We demonstrate that it is practical for a malicious committer to introduce use-after-free bugs.
Rien dans le papier ne permet aux lecteurs de comprendre que l’expérience n’a pas produit le résultat claironné. Le seul moyen de s’en rendre compte est de consulter les archives des listes de discussion du noyau, mais la tâche n’est pas aisée puisque les patchs sont présentés dans le papier sans aucun contexte, aucune information permettant de trouver facilement le message d’origine (et donc la discussion subséquente) : seul le « corps » du patch est montré, comme dans cet exemple :
pointerA = pointerC = malloc(...);
...
pointerB = malloc(...);
if (!pointerB) {
+ kfree(pointerA);
return -ENOMEM;
}
Ne sont mentionnés ni le nom d’emprunt sous lequel le patch a été soumis, ni la date, ni même le nom du fichier auquel le patch s’applique. Pour ne rien arranger, les auteurs précisent que le code a été « simplifié » pour être plus lisible.
Donc, quelqu’un souhaitant savoir si l’expérience a réussi devrait 1) identifier, dans les millions de lignes de code du noyau Linux, un bout ressemblant à celui présenté ; 2) trouver, parmi les milliers de patchs soumis sur les listes de discussions du noyau, celui qui touche ce bout de code pour introduire un changement semblable à celui présenté.
Rien que la première étape est déjà dantesque, et il semble évident que les auteurs comptaient bien sur le fait que personne, à la lecture du papier, n’entreprendrait d’aller vérifier leurs dires. Il aura fallu attendre que l’affaire éclate, en avril 2021, pour que le dénommé neoflame déjà mentionné ne décide que la tâche méritait qu’on s’y attelât… et ne découvre ainsi le pot aux roses.
En clair, en constatant l’échec de leur « preuve de concept », qui mettait à mal leur hypothèse selon laquelle les logiciels libres étaient vulnérables aux « patchs hypocrites », Qiushi Wu et Kangjie Lu ont décidé de présenter une conclusion que leurs observations n’étayent pas et de rendre le plus difficile possible toute vérification indépendante de leurs travaux, ce qui, dans le jargon académique, s’appelle du bidonnage, voire, une fraude.
Le comité d’organisation du symposium S&P2021, dans le communiqué annonçant la rétraction du papier des commits hypocrites, s’attarde longuement sur les problèmes d’éthique du papier mais ne mentionne que très brièvement la fraude, en des termes très diplomatiques :
Au cours de l’enquête, le comité d’organisation a aussi revu en détails les affirmations techniques du papier […] L’étude des patchs a montré que la description fournie par les auteurs dans leur papier était ambiguë et dans certains cas trompeuse. Les expériences ne fournissent pas de preuves concluantes pour soutenir les conclusions avancées par leurs auteurs […]
(Emphase ajoutée.)
Le noyau Linux est-il vulnérable aux « commits hypocrites » ?
Le « papier des commits hypocrites » est donc un travail frauduleux réalisé en violation des règles éthiques. Si on met de côté ce petit détail sans importance, le papier nous apprend-il quelque chose sur le développement du noyau et sur sa sécurité ?
Avant de procéder à leur expérience, Qiushi Wu et Kangjie Lu ont d’abord réalisé un inventaire des failles de sécurité du noyau déjà connues (avec un numéro CVE attribué) et causées par des patchs de moins de trente lignes (le seuil arbitraire qu’ils ont fixé pour décider qu’un patch était « mineur »). Ils ont trouvé 138 failles causées par de tels patchs, qu’ils ont classifié en fonction de la nature de l’erreur à l’origine de la faille (déréférencement d’un pointeur non-initialisé, déréférencement d’un pointeur déjà libéré, dépassement de tampon, etc,).
Ces failles causées par des patchs mineurs représentent environ 10 % de toutes les failles qu’ils ont étudiées.
Bien sûr, rien ne permet de dire que les patchs à l’origine de ces 138 failles étaient des patchs hypocrites (c’est-à-dire délibérément conçus pour introduire ces failles, à l’insu des mainteneurs du noyau), et Qiushi Wu et Kangjie Lu ne le prétendent d’ailleurs pas. L’étude de ces patchs est intéressante en ce qu’elle offre une compréhension globale des mécanismes qui font qu’un mainteneur noyau peut « laisser passer » un patch causant une vulnérabilité — que la vulnérabilité soit introduite délibérément par un patch hypocrite ou soit le résultat d’une honnête erreur de la part de l’auteur du patch n’a en réalité pas beaucoup d’importance !
C’est pourquoi il conviendrait de parler de « patch problématique » plutôt que de « patch hypocrite » : un patch problématique est tout patch introduisant une faille potentielle, sans préjuger des intentions de son auteur.
En étudiant à la fois les patchs problématiques acceptés et les patchs problématiques bloqués (rejetés par les mainteneurs avant d’avoir atteint la branche principale du noyau) sur une période de six ans (de janvier 2015 à août 2020), Qiushi Wu et Kangjie Lu concluent que les mainteneurs du noyau détectent correctement les patchs problématiques un peu plus d’une fois sur deux (56,6 % de patchs problématiques bloqués).
C’est probablement l’aspect le plus navrant de toute cette affaire : le « papier des commits hypocrites » aurait pu être un papier réellement intéressant, si ses auteurs s’étaient contentés de cette étude rétrospective au lieu de vouloir faire dans le sensationnel en rapportant une expérience bidonnée… Le pire, c’est que maintenant qu’on sait que les auteurs ne sont pas dignes de confiance, on peut légitimement douter aussi de leur étude rétrospective — ils ne fournissent aucune information sur les patchs qu’ils ont étudiés… — et donc du taux de 56,6 % qu’ils avancent.
Au-delà du papier, la revue massive de tous les patchs en provenance de l’Université du Minnesota, que le papier a indirectement déclenchée en avril 2021, apporte elle aussi quelques réponses sur la probabilité qu’un patch problématique passe au travers des mailles de la relecture par les mainteneurs. Des réponses fiables, étant donné la transparence de la Linux Foundation.
Or donc, sur les 442 patchs revus, 78 introduisaient un problème quelconque. Les mainteneurs ont donc laissé passer environ 18 % de patchs problématiques.
Aucun de ces 78 patchs n’était « hypocrite », ce qui permet de souligner un point important et de comprendre le point de vue des développeurs noyau sur le « risque » posé par les patchs hypocrites : il n’est nul besoin d’imaginer un adversaire actif soumettant des patchs hypocrites pour voir arriver des bogues (et potentiellement des vulnérabilités) dans le noyau ! Les développeurs noyau doivent déjà être sur leur garde pour tenter d’empêcher l’introduction accidentelle de bogues ! (Ce qu’ils sont arrivés à faire, dans le cas des patchs en provenance de l’Université du Minnesota, dans 82 % des cas.) C’est exactement la même vigilance qui est requise pour empêcher l’introduction délibérée de bogues, ce n’est pas un risque distinct.
C’est ce que Greg Kroah-Hartman a tenté d’expliquer à Qiushi Wu lors d’un échange en août 2020, juste après la conclusion de l’expérience (à ce moment-là, ni Greg Kroah-Hartman ni aucun autre développeur n’est conscient de l’existence même de cette expérience ; Qiushi Wu est seulement un doctorant qui vient poser des questions sur la LKML) :
(Qiushi Wu) N’importe qui peut soumettre un patch au noyau Linux.
(Greg Kroah-Hartman) En quoi serait-ce un « risque » ?
(Qiushi Wu) Nous considérons la possibilité que des contributeurs soumettent des patchs malveillants et nous voulons réduire le risque que de tels patchs soient acceptés.
(Greg Kroah-Hartman) Vous ne voyez pas le problème sous le bon angle.
TOUS les contributeurs font des erreurs, vous ne devriez traiter personne différemment. J’ai probablement commis moi-même plus de bogues que nombre de contributeurs, est-ce que ça fait de moi un « contributeur malveillant » ? Non, juste quelqu’un qui contribue beaucoup.
Donc les patchs doivent être vérifiés attentivement quel que soit le contributeur, vous voyez ?
Nous avons bien une notion de « confiance » parmi les développeurs noyau, c’est ce qui nous permet d’être efficaces. Sauf que l’idée n’est pas de faire confiance aux gens pour toujours écrire des patchs parfaits, mais plutôt de leur faire confiance pour être dans les parages pour réparer les dégâts quand un de leurs patchs se sera avéré incorrect — ce qui arrivera, nous sommes humains et tout le monde fait des erreurs.
Les développeurs noyau ont-ils réagi de manière excessive ?
Avec le recul, la décision de Greg Kroah-Hartman, le 21 avril, de bannir toutes les nouvelles contributions en provenance de l’Université du Minnesota, peut sembler excessive. Après tout, l’Université du Minnesota, c’est (tous départements confondus) environ 26 000 membres du personnel et 66 000 étudiants, quand l’affaire des commits hypocrites n’a impliqué que l’équipe de recherche de Kangjie Lu.
Avec le recul, oui.
Sauf qu’au 21 avril 2021, Greg Kroah-Hartman et les autres développeurs noyau ne connaissent absolument pas tous les détails donnés tout au long de cette dépêche. En particulier, ils ne savent pas qu’il n’y a jamais eu que cinq patchs hypocrites, puisqu’à ce moment-là, les chercheurs n’ont pas encore dévoilé l’étendue de leur expérience — ils ne le feront qu’une semaine plus tard, sous la pression de la communauté.
Par ailleurs, comme le fait remarquer Theodore Ts’o :
Le fait que le comité d’éthique de l’Université du Minnesota estime que les travaux du Professeur Lu ne constituent pas des recherches sur des sujets humains signifie qu’il n’y a aucune sorte de contrôle institutionnel sur ce genre de comportements au sein de cette université — donc bannir l’université entière pourrait bien être la seule réaction correcte, malheureusement.
En définitive, le rôle du bannissement était surtout d’envoyer un message à quiconque (à l’Université du Minnesota ou ailleurs) serait tenté de réaliser des expériences similaires à celle de Qiushi Wu et Kangjie Lu. Le message étant, selon les propres termes de Greg Kroah-Hartman, que « notre communauté n’apprécie guère d’être traitée comme un sujet d’expériences. »
Et le message a été reçu fort et clair, puisqu’en réponse l’Université du Minnesota a immédiatement (le jour même !) « lâché » ses chercheurs — alors que des membres de la communauté avaient pointé du doigt les problèmes éthiques de leurs travaux dès le mois de novembre 2020, sans que cela ne fasse réagir qui que ce soit au sein de l’université.
Pour aller plus loin
- Le “Menlo Report”, document de référence (aux États-Unis) posant les principes éthiques qui doivent régir les recherches en « technologies de l’information et de la communication ».
- The Underhanded C contest, un ancien concours de programmation C qui demande souvent d’écrire des logiciels munis de vulnérabilités dont on peut nier l’intentionnalité (ce qu’on peut rapprocher du concept de patch hypocrite tel que décrit dans le papier de Qiushi Wu et Kangjie Lu).
- Les ressources pédagogiques du CNRS en matière d’éthique et d’intégrité scientifique.
N.D.M. : à la suite de cette affaire Linux vient (mars 2022) de se doter de lignes de conduite à l’attention des chercheurs qui seraient tentés de se livrer à ce genre d’expériences.
# Pas complètement nouveau
Posté par arnaudus . Évalué à 8.
Comme spécifié dans le journal, le problème n'est pas réellement nouveau. Il y a eu une mode similaire sur Wikipédia, avant que la communauté ne réagisse en expliquant le protocole correct : les chercheurs ne doivent pas introduire eux-mêmes les erreurs, mais rechercher dans l'historique public des erreurs introduites par des tiers. C'est peut-être plus de travail, mais éthiquement correct et scientifiquement plus précis.
Par contre, je ne comprends pas la charge contre le comité d'éthique. Il me semble qu'il est assez clair que l'expérience ne cible pas des sujets humains, mais teste un processus (qui fait intervenir des humains, certes, mais tous les processus existants ou presque le font). Par exemple, quand on scanne les ports d'un serveur, on teste les humains qui ont mis en place la sécurité dudit serveur. Quand les associations font du testing pour quantifier le racisme en entrée de boîtes de nuit, c'est pareil, ce n'est pas une expérience sur les vigiles. Ces expériences posent des problèmes éthiques, mais je ne pense vraiment pas que ces problèmes soient assimilables à des recherches sur les humains. J'ai plutôt l'impression qu'on est dans le domaine d'une expérience nécessitant des actions illégales, pouvant mener à des poursuites (comme par exemple essayer d'ouvrir des comptes en banque avec des faux papiers d'identité, ou appeler les pompiers sans raison pour chronométrer le temps qu'ils mettent à venir).
Pour information, les comités d'éthique sont principalement pilotés par des juristes. Ils ne se posent pas de questions réellement éthiques (du style, est-ce "bien" ou "mal"), ils statuent "simplement" sur le caractère légal de ce qu'on leur soumet : quelles sont les procédures à respecter pour telle ou telle expérience, est-ce que ces procédures ont été respectées, etc.
Il faut aussi réaliser que la fraude scientifique n'est pas illégale. Ça peut être une faute professionnelle (et mener à des sanctions disciplinaires), mais on ne peut pas porter plainte contre quelqu'un pour fraude scientifique. Ça explique souvent pourquoi les commissions d'enquête internes concluent que leurs chercheurs sont "clean", malgré des preuves qui crèvent les yeux. Comme ces comités sont pilotés par des juristes, ils ne font que balancer les risques. Le risque de conclure à la fraude est important; il faut sanctionner les personnes, ce qui va probablement amener à des actions en justice (prud'hommes, diffamation…) dont l'issue est toujours très incertaine (notamment du fait du manque de consignes claires en interne et du manque de contrôles, qu'on peut facilement interpréter comme une incitation tacite à la fraude). Nier la fraude et maintenir les fautifs dans leurs fonction, c'est "mal" éthiquement, mais c'est très confortable : aucun problème en vue, et un peu de honte, c'est vite bu—la perte de "prestige" est temporaire et sans conséquences au niveau financier.
[^] # Re: Pas complètement nouveau
Posté par gouttegd . Évalué à 10. Dernière modification le 26 mars 2022 à 12:36.
C’est exactement la position des deux chercheurs, qu’ils sont les seuls à défendre. Personne d’autre n’est d’accord avec ça.
L’avis d’un comité d’éthique doit être sollicité dès lors qu’il y a des humains impliqués, au-delà des chercheurs eux-mêmes. C’est ce que dit par exemple le comité d’éthique de l’école de technologie de l’Université de Cambridge :
Botter en touche en disant « on teste le processus, pas les humains derrière » n’est pas acceptable.
Alors pour ma part, je ne suis familiarisé qu’avec les comités d’éthiques des universités britanniques et je ne sais pas trop ce qui se passe outre-Atlantique (ni en France d’ailleurs), mais chez les grands-bretons :
[^] # Re: Pas complètement nouveau
Posté par Zenitram (site web personnel) . Évalué à 10. Dernière modification le 26 mars 2022 à 15:07.
Ben non, dans ton exemple on teste le résultat automatique de ce que des humains ont mis en place à priori, alors qu'ici on teste la réaction des humains directement dans leur réaction manuelle du moment.
D'ailleurs le papier l'avoue assez explicitement même si ils disent eux le contraire : prévenir des humains nuirait au test. Alors que dans ton exemple prévenir les humains ne nuit pas au test, CQFD.
Ils savaient. C'est tellement évident que ça en dit long sur toute la chaîne, comme le note la dépêche.
Heu… Mauvais comité alors. A ma connaissance c'est bien différent, il y a le pôle juridique (composé de juristes) et le pôle éthique (composé de chercheurs), l'un étant sur la loi et l'autre sur justement tout ce qui n'est pas la loi. Si dans une entité le pôle éthique est composé de juristes c'est qu'en pratique l'entité n'a pas de pôle éthique.
Et bloquer l'entité mettant l'éthique de côté non plus. On ne parle de légal ici (on laisse ça aux juristes).
Pas le sujet : tu parles juridique alors que ça parle éthique.
Mais parfois le temporaire dure quand même. Des entités pourries peuvent rester, mais des entités qui carrément disparaissent à cause d'un mauvais jugement éthique ça existe aussi.
A noter que l'éthique est très d'actualité en ce moment, où il y a une pression de partir sur des entreprises ayant des activités dans un certain grand pays qui est en train d'envahir un autre pays : juridiquement ils peuvent rester mais éthiquement ça peut poser problème et c'est le poids des pressions des clients dans les autres pays qui peuvent juste ne plus acheter si l'éthique est jugée pourrie quelque soit la légalité (2 pôles, encore).
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 2.
Il y a des comités d'éthique dont l'objectif est de fournir des règles générales; ces comités sont consultatifs et composés de chercheurs (la participation au comité fait partie de leur travail de recherche). Et il y a des comités d'éthique qui ont un rôle légal, ils déterminent si des protocoles sont conformes aux règles, sans discuter des règles. C'est du deuxième type de comité dont on parle, et ces comités sont des organes administratifs qui engagent la responsabilité juridique des établissements, ils ne peuvent rien faire qui ne soit validé par l'administration.
[^] # Re: Pas complètement nouveau
Posté par Zenitram (site web personnel) . Évalué à 4.
C'est donc le pôle juridique, et non pas éthique.
Juridique donc, encore et encore, alors qu'on parle éthique.
Vu les réactions sur les autres commentaires, j'imagine que ça ne sert à rien d'essayer de faire plus comprendre le soucis.
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 6.
J'avoue que je suis complètement paumé. Vous semblez débarquer et croire que le comité d'éthique de l'université X sert à protéger les gens contre les chercheurs de X. Ce n'est pas du tout comme ça que ça fonctionne! Le comité d'éthique de X, financé à 100% par X, sert à protéger les chercheurs de X contre d'éventuelles poursuites qui nuiraient à X (financièrement et en terme d'image de marque).
Un comité juridique, ça n'existe pas. Le rôle d'un comité d'éthique (un vrai, pas un truc consultatif) est d'examiner les protocoles et de déterminer s'ils sont conformes aux règles d'éthiques locales et nationales. C'est tout, et c'est déja pas mal. Ce n'est pas un comité juridique, c'est un comité d'éthique (d'application des règles éthiques).
J'ai même fourni des liens pour montrer que les comités d'éthiques qui réfléchissent sur les règles éthiques ont pour principe de ne pas considérer les cas particuliers. Il est donc totalement impossible de les faire intervenir dans une situation précise, c'est plus des comités de reflexion.
Moinsser parce que vous n'aimez pas la réalité, ça ne fait pas disparaitre la réalité.
[^] # Re: Pas complètement nouveau
Posté par Zenitram (site web personnel) . Évalué à 4. Dernière modification le 27 mars 2022 à 14:25.
Je crois que tu es bien paumé, en effet, vu que tu dis tout et son contraire.
On est totalement d'accord sur l'idée qu'un comité d'éthique est dans le fond la pour pas perdre de la thune et de l'image de marque, mais ça n'a rien à voir avec le côté juridique : on peut perdre financièrement et en image de marque en respectant la loi comme on peut gagner financièrement et en image de marque en ne respectant pas la loi. Pour parler libre, ce n'est pas parce que des amateurs de "non commercial" ou de MongoDB disent être dans les principes du libre qu'on doit ici dire qu'ils sont dans les principes du libre, ils font du non libre même si eux affichent autre chose.
La réalité est qu'un comité d'éthique ne s’intéresse pas à la loi (il laisse ça au pôle juridique) mais au delà de la loi (image de marque, choix avec ses pairs, etc), ce n'est pas parce que certain font du nommage bizarre qu'on doit ici le prendre.
Maintenant, si tu as des infos comme quoi le comité d'éthique de l'université en question est en fait mal nommé et s’intéresse au juridique, je t'en prie, démontre. En attendant personne ne parle de juridique vu que le sujet qui pose problème n'a pas de base légale mais… éthique.
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 5.
Bon, alors simplement, voici comment fonctionne l'évaluation éthique d'un projet de recherche en France (et en Europe, je pense que c'est à peu près comme ça dans tous les membres de l'UE).
1) Les organismes de recherche (institus et universités) pevent mettre en place un règlement relatif aux règles éthiques. Ce réglement correspond au minimum à la loi, parfois il va plus loin. La plupart du temps, il rappelle quels organismes sont compétents pour donner des autorisations (expérimentation sur des animaux, sur des humains, etc). Il communique ce règlement à ses chercheurs, en leur demandant de le respecter. En général, aucun contrôle n'est effectué.
2) Les organismes de financement conditionnent en général l'attribution des financements au respect d'un certain nombre de règles. La plupart du temps, c'est juste le minimum légal.
3) Au moment de la soumission du projet, le formulaire comporte un certain nombre de cases : le projet comporte-t-il des expériences sur les animaux, sur les humains, sur des OGM, etc. Si on coche une case, il faut alors certifier qu'on respecte la règlementation. Parfois (mais pas toujours), il faut confirmer qu'on a eu l'aval du comité d'éthique de l'organisme de recherche.
4) Si nécessaire, les aspects éthiques des projets sont validés par une émanence de l'administration compétente dans les questions éthiques. Étant donné le nombre de projets, cette validation est seulement réglementaire; c'est un jeu de questions-réponses. Si l'expérience fait intervenir des sujets humains, il faut leur faire signer le formulaire XY; si ça fait intervenir des vertébrés, il faut que le porteur du projet ait une habilitation et que le comité machin-truc valide le protocole qu'il faudra leur envoyer au moins 6 mois avant, etc. Ça doit dépendre des organismes, mais vu les délais serrés, il me semble très improbable qu'un comité se réunisse et évalue un par un les projets en les lisant. La réponse qu'on obtient, c'est en général "validation au vu des documents communiqués".
5) Les expériences se déroulent, et au moment de la publication, les journaux demandent (parfois) des documents justifiant de l'obtention d'autorisations. C'est toujours un peu flou, parce que les réglementations sont locales, et que les journaux n'ont aucune idée de ce qui doit être légalement fait en Chine ou en Afrique du Sud. C'est souvent à ce moment là que les boulettes sont rattrappées, avec des autorisations administratives accordées a posteriori. Ça peut aussi être justifié par les délais de l'administration (s'il faut un an pour obtenir une autorisation, il est fréquent qu'elle arrive après l'expérience; la date de soumission du dossier prouve la bonne foi).
Bref, tout ça pour dire que ces discussions me semblent complètement lunaires. Je ne travaille pas dans le biomédical, et je n'ai pas l'expérience de l'éthique médicale, qui est plus encadrée par la loi, mais je ne pense pas que ça soit très différent dans le principe. Ces autorisation éthiques sont des documents administratifs, et pour les obtenir, il faut justifier que le plan d'expérience est conforme à la réglementation (loi + éventuellement règles internes). L'évaluation se base sur des formulaires avec des cases à cocher, avec des catégories très générales. Il n'y a jamais d'audits internes; des inspections ont parfois lieu pour les règles imposées par la loi; pour les règles imposées par le règlement intérieur, bah ça se passe en interne.
Du coup, quand certains d'entre vous imaginent qu'il existe des gens payés pour lire les projets de recherche et donner un avis individualisé sur chaque projet après discussion collégiale, j'ai vraiment l'impression qu'on vit dans des mondes parallèles. Par exemple, une grande université française, ça peut être 500 projets soumis à l'appel général de l'ANR. Si même seulement 100 projets étaient concernés par le comité d'éthique, il faudrait que ce comité se réunisse et évalue ces 100 projets en moins d'une semaine, en espérant que le brouillon fourni une semaine avant la cloture de l'appel soit d'une qualité suffisante pour évaluer les aspects éthiques. C'est tout simplement impossible. La charge de travail pour évaluer individuellement les projets de recherche serait énorme et nécéssiterait des comités pléthoriques à plein temps, sans compter que les éventuels retours des comités viendraient trop tard pour être intégrés au projet soumis. À la limite, un tel système pourrait concerner seulement quelques projets hyper-sensibles, mais certainement pas le tout-venant.
[^] # Re: Pas complètement nouveau
Posté par gouttegd . Évalué à 8. Dernière modification le 28 mars 2022 à 01:46.
Je ne peux pas parler pour ce qui se passe en France.
Mais au Royaume-Uni, tu serais à côté de la plaque sur plusieurs points.
Un dossier destiné à un comité d’éthique n’est en aucun cas un formulaire avec des cases à cocher. Il faut détailler, justifier chaque point. On parle d‘un dossier d’une quinzaine de pages minimum, et encore pour les projets les plus simples.
Non. Juste non. Le dossier est lu, et soigneusement. Il circule entre tous les membres du comité préalablement à la réunion, et si dès ce moment-là quelqu’un a des remarques à faire le porteur du projet est contacté pour lui donner une chance de fournir des précisions et de régler les éventuels problèmes le plus tôt possible (idéalement avant la prochaine réunion du comité).
C’est pourtant précisément ce qui se passe. Sauf qu’idéalement, une bonne partie de la discussion sur un projet donné a déjà eu lieu en amont de la réunion (par email ou téléphone), donc à ce stade déjà le comité réuni n’a typiquement plus grand’chose à faire sur chaque dossier.
Selon le type de comité, le porteur du projet est invité à assister à la réunion pour le moment où son dossier est évalué, ce qui lui permet de répondre aux questions du comité et d’éclaircir tout point qui n’aurait pas déjà été réglé préalablement.
Cette invitation du porteur du projet est à ma connaissance systématique pour les projets revus par les comités d’éthiques nationaux du NHS (cas de la plupart des projets de recherches biomédicales impliquant des patients). Pour les comités d’éthiques locaux propres à chaque université (voire chaque département d’une université), je crois que c’est laissé à la discrétion de chaque comité.
C’est exactement l’impression que j’ai en te lisant, parce que c’est exactement ce qui se passe au Royaume-Uni. Je n’ai pas d’expérience en la matière en France, mais j’ai du mal à croire que cela puisse être si différent. En tout cas j’espère que ça ne l’est pas.
Pour ce que ça vaut, en France j’ai par contre une expérience (vieille d’il y a dix ans, d’accord) avec la commission du génie génétique (qui doit valider tous les projets impliquants des organismes génétiquement modifiés), et c’est comparable avec ce que je décris ci-dessus concernant l’approbation éthique au R.-U. À savoir, un long dossier très détaillé (pas une succession de case à cocher) qui est examiné en détail en commission. Ça me rend d’autant plus sceptique sur le fait que l’approbation éthique en France se déroulerait comme tu le prétends.
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 1.
Mais comment est-ce possible, même logistiquement? Un chercheur soumet plusieurs projets par an, chaque projet peut impliquer des collaborateurs d'organismes différents, qui n'ont pas les mêmes règles et les mêmes procédures. Il me semble totalement impossible de suivre individuellement les milliers de projets soumis dans toutes les disciplines (biomédical, sciences sociales, biologie, physique…), même pour une université de taille moyenne.
Alors bien sûr, dans certains domaines (biomédical, physique), on parle plutôt de projets énormes, à l'échelle de consortiums ou de laboratoires. Mais ces projets impliquent souvent des centaines d'expériences, qu'il est impossible d'examiner individuellement. Il faut forcément un système pour isoler les expériences qui sont potentiellement problématiques, et accorder une autorisation "par défaut" aux autres.
Ah bah c'est quand même différent. Pour les OGM confinés (qui ne sont pas disséminés dans la nature), l'agrément est donné au laboratoire pour une certaine période, on n'est pas du tout dans un cas d'analyse des expériences individuelles, un peu comme pour la radioactivité. Par comparaison, les autorisations d'expériences sur les vertébrés sont plus lourdes (il faut un dossier par expérience), mais le système tient du fait de l'obligation par le porteur du projet d'avoir suivi une formation.
[^] # Re: Pas complètement nouveau
Posté par gouttegd . Évalué à 10. Dernière modification le 28 mars 2022 à 11:50.
Bah déjà tu sembles penser que le moindre projet de recherche doit passer devant un comité d’éthique. Ce n’est absolument pas le cas. On entend sûrement beaucoup plus souvent parler des travaux de recherches qui posent des problèmes éthiques (ça fait forcément plus de « bruit », c’est normal et c’est d’ailleurs probablement une bonne chose), mais il y a beaucoup de travaux qui n’en posent pas du tout.
J’ai fait dix ans de recherches en biologie en France, aucun de mes projets n’est jamais passé devant un comité d’éthique. J’ai travaillé soit sur des cellules humaines en culture, dont personne ne pense qu’elles posent un problème éthique (c’aurait été différent s’il s’était agi de cellules primaires — en provenance directe de patients, par opposition à des cellules cultivées en laboratoire depuis des années —, parce que là il y aurait eu des considérations éthiques liées notamment au consentement des patients — « êtes-vous d’accord pour que votre biopsie soit utilisée à des fins de recherche ? » — et à la gestion des données personnelles des patients — double nécessité de maintenir une traçabilité des patients jusqu’aux cellules et de préserver l’anonymat des patients), soit sur des mouches, qui similairement ne posent aucun problème d’éthique (même pas des considérations liées à la souffrance animale, ce qui n’aurait pas été le cas avec des souris par exemple).
Bref, il y a un premier « filtre », représenté par les chercheurs eux-mêmes, à qui il appartient de se poser la question « est-ce que ce que je fais soulève des questions éthiques ? ». Assez souvent, la réponse est évidente, dans un sens ou dans l’autre. Évidemment, cela suppose que les chercheurs soient un minimum sensibilisés à l’éthique, ce qui devrait normalement faire partie de leur formation — j’ai le regret de dire que ça n’a pas franchement été le cas pendant ma formation universitaire en France.
Ensuite, c’est pas comme s’il n’y avait qu’un seul comité d’éthique dans toute l’université, chargé d’évaluer tous les projets. (Je rappelle que je décris ce qui se passe au Royaume-Uni — peut-être qu’en France les universités se dotent d’un comité d’éthique pour plusieurs milliers de chercheurs, j’en sais rien et je ne suis pas sûr que je serais étonné que ce soit le cas…) Il y a au minimum un comité par département (logique, on ne va pas demander au même comité d’évaluer à la fois des projets de biologie et des projets de sécurité informatique…), et un comité « supérieur » à l’échelle de l’université entière. Dans les plus gros départements, il peut aussi y avoir des comités « sous-départementaux », à l’échelle d’un (gros) institut par exemple.
Le principe est que si le chercheur estime que son projet soulève des questions éthiques (premier filtre), il le fait évaluer par son comité le plus « proche » (celui de l’institut s’il y en a un, sinon celui du département). La plupart du temps, le projet est suffisamment simple, et les questions éthiques soulevées suffisamment « standard » (les projets soulevant des questions éthiques complètement nouvelles ne sont pas si fréquents…), pour que le comité local se considère compétent pour approuver ou retoquer le projet, ce qu’il fera lors de sa prochaine réunion (une par mois en moyenne).
Parfois, le comité local estime que non, il n’est pas compétent et que le projet devrait être soumis à l’échelon supérieur.
Parfois encore, la nature même du projet fait que les chercheurs savent d’emblée que le comité local ne sera pas compétent. C’est typiquement le cas des projets de recherches biomédicales impliquant directement des patients (essais cliniques par exemple), parce que là la réglementation britannique en la matière impose que ces projets soient validés par les comités d’éthiques nationaux du NHS — les comités d’éthiques des universités, à quelque niveau que ce soit, ne sont explicitement pas compétents juridiquement pour ces projets.
Dans ce cas, le rôle des comités universitaires n’est plus d’évaluer le projet, mais d’aider le porteur du projet à monter son dossier auprès des comités nationaux. Parce qu’un dossier d’évaluation auprès des comités du NHS, c’est relativement pas de la tarte, voire même franchement pas évident pour quiconque n’a pas l’habitude. Et l’université n’a évidemment aucun intérêt à laisser ses chercheurs aller au « casse-pipe » devant un comité national avec un dossier mal ficelé, ce serait une perte de temps pour tout le monde (les chercheurs et les membres du comité national).
Non, et si.
Il y a bien un agrément donné au laboratoire (voire l’institut) entier, mais celui-ci ne couvre pas nécessairement tous les projets menés dans le laboratoire/institut et un chercheur peut avoir besoin d’un agrément invidivuel pour son propre projet (ça a été mon cas, à deux reprises). Et là du coup on est bien dans le cas où la commission du génie génétique analyse un projet précis.
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 1.
Tiens, au passage, voici ce qu'on trouve sur le rôle du comité d'éthique de la plus grande université de France:
le comité d'éthique de la recherche (CER) de l’Université Paris-Saclay a pour vocation de proposer un avis éthique consultatif sur les protocoles de recherche impliquant des sujets humains portés par les chercheurs de l'Université, lorsque ces protocoles ne visent pas à l’avancée des connaissances biologiques ou biomédicales. Sa saisine ne saurait avoir de caractère systématique ou obligatoire.
Tu noteras au passage que pour le biomédical, l'université n'a rien -> obligations légales, et c'est tout. Et en dehors des sujets humains, rien non plus. Expérimentation animale -> obligations légales, Intelligence artificielle -> Que dalle de chez rien du tout.
Après, de toutes manières, les universités n'ont même pas les ressources pour assurer leurs missions légales (médecine du travail, réglementation du travail dissimulé, payer les employés et les fournisseurs dans les délais légaux…). C'est quand même assez logique que personne ne soit motivé pour ajouter des contraintes coûteuses, non réglementaires, et bureaucratiques, à des services déja complètement submergés.
[^] # Re: Pas complètement nouveau
Posté par Zenitram (site web personnel) . Évalué à 5. Dernière modification le 28 mars 2022 à 10:11.
Tiens, ça dit ce qu'on dit et le contraire de ce que tu dis, tu "oublies" de le noter…
Aidons-les donc : refusons clairement leurs travaux, ils en seront moins motivé à en faire, moins de charge, tout le monde gagne (à ne pas surcharger pour rien les autres).
Le classique "pas obligatoire et ça coûte cher" qui permet de faire de la merde, les entreprises les plus polluantes ou les entreprises à service client pourri ou une entreprise mettant la pression à fond sur les salariés (entre autre) adorent la défense que tu leur fais, c'est justement ça qui est refusé par certains, ne t'en déplaise, et c'est justement l'idée derrière les avancées comme… Un comité d'éthique, par exemple.
[^] # Re: Pas complètement nouveau
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 9.
Dans ta liste, il y a bien
1) mise en place d'un(e) règlement (ou charte) intérieur(e) ; pas un « comité éthique » remarque
2) demande de respect de la loi, ou du règlement de l'organisme de financement ; toujours pas question d'éthique
3) l'aval d'un comité d'éthique dans certains cas ; et tu décris quelque chose qui n'a rien à voir avec le point 1) (et c'est la remarque que nous te faisons depuis le début)
4) des certifications réglementaire et non des évaluations de questions éthiques, et tu vas jusqu'à faire disparaitre l'existence d'un comité (et ce que nous disons depuis le début est justement pourquoi parler de comité s'il n'y en a pas ?)
Ce n'est pas une question que certains d'entre nous imaginent des choses, mais que tu mets le doigt sur un montage manipulatoire qui discrédite la recherche et les universités (et au passage donne raison aux complotistes et toutes personnes qui ne peuvent plus faire confiance aux chercheurs et aux publications bidons.) Tu es toi-même tellement englué dans l'enfumage que tu refuses de voir la déconnexion et refuses de te poser les questions fondamentales :
Par définition, un comité d'éthique n'est pas saisi à tout venant, et implique que des gens se réunissent et pas pour parler de législation… Arrêtons de fourvoyer les mots.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Pas complètement nouveau
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 6.
Ce que tu décris indique que c'est une université et des gens à bannir de partout …parce-que le comité d'éthique est plutôt un commité juridique, et que quand bien même on teste un human workflow on se cache derrière le fait de faire de la technique.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 4. Dernière modification le 26 mars 2022 à 21:36.
Mais non, c'est plus ou moins le fonctionnement de toutes les universités. Ce qui est complexe, c'est que les noms sont très fluctuants, donc le même nom de comité peut recouvrir des réalités très différentes.
Tu as des comités d'éthique de type "consultatifs", qui sont composés de chercheurs, et dont le rôle est de mener des réflexions générales. Ce n'est pas de ceux-là dont on parle dans l'affaire qui nous occupe.
Ce dont on parle, c'est les comités qui peuvent prendre des décisions: accorder des autorisations pour les expériences, prendre des sanctions disciplinaires.
Par exemple, en France, le comité d'éthique du CNRS est du premier type (https://comite-ethique.cnrs.fr/le-comets). "Le COMETS n’est ni un comité opérationnel d’éthique chargé de donner une accréditation à des projets de recherche, ni une instance de déontologie traitant des infractions aux règles d’intégrité scientifique. Il n’intervient pas dans les controverses scientifiques et ne statue pas sur des cas individuels".
Le comité d’évaluation éthique de l’Inserm est un exemple du second type (https://www.inserm.fr/ethique/comite-devaluation-ethique-de-linserm-ceei-irb/). Il est composé d'administratifs principalement (directeurs d'unités, juristes, représentants de la société civile), et n'est pas indépendant de la direction de l'institut (tous les membres sont nommés).
Et à ma connaissance, toutes les universités et organismes de recherche du monde fonctionnent de cette manière. Les comités qui produisent des réflexions générales sont libres, les comités qui produisent des documents administratifs sont pilotés par le service juridique et l'administration; ils examinent si les projets de recherche sont conformes à la réglementation. Ils ne décident pas de règles d'éthiques, ils déterminent si les protocoles sont conformes aux règles.
Personne ne se cache derrière rien du tout. Ils testent une institution, comme on pourrait tester une entreprise ou une association; ce n'est pas les gens qui sont le sujet de l'étude. Ce genre d'études n'est peut-être pas éthique dans le sens philosophique, mais il ne s'agit pas de recherche sur les humains; ce point de vue a été confirmé par le comité d'éthique de l'université.
En France en tout cas, ça ne relève pas du code de la santé pblique (la recherche en sciences sociales est exclue du paragraphe "Recherche impliquant la personne humaine"). Je ne sais pas quel cadre réglementaire s'applique en France; il semble qu'en Amérique du Nord, le consentement n'est pas requis si l'observation ne concerne pas la vie privée des individus. J'ai un peu l'impression que les gens se sont monté le bourrichon sur cette histoire. Dans quelle mesure la situation est-elle différente d'une expérience de testing, par exemple? On appelle 30 entreprises pour leur demander de faire respecter la RGPD, et on note la facilité d'accès à nos données personnelles; dans le processus, on va parler à un tas de gens, mais ces gens ne sont pas le sujet d'étude. Vu la quantité d'erreurs grossières dans l'histoire dont on parle (éthique + fraude scientifique), essayer d'aller rajouter un truc douteux sur un aspect de recherche sur l'humain me semble inutile et détourne l'attention des problèmes réels.
[^] # Re: Pas complètement nouveau
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 9.
Comme tu dis les noms sont trompeurs et ma remarque est qu'on devrait fuir tous ces flous artistiques/politiques (donc bannir toutes les universités américaines si c'est leur cas). Pourquoi ne pas juste appeler un chat un chat et donc parler de legal comity ? Utiliser le mot éthique là où il n'y en a point (que du juridique et de l'image marketing) c'est du même acabit que le green washing et ces manipulations ne devraient pas avoir leur place en sciences…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 5.
Parce que ce sont des comités chargés de confirmer que des protocoles expérimentaux sont conformes aux règles éthiques. Du coup, ils s'appellent aussi "comité d'éthique", ou "comité d'évaluation des règles éthiques".
Je trouve que c'est une très bonne chose que le processus de création des règles éthique soit indépendant de l'évaluation de l'application des règles existantes, non? Ça me semble être la manière dont la société fonctionne; la justice applique les lois et ne les invente pas au fur et à mesure. J'ai l'impression que tu souhaiterais que les comités d'éthique fassent les deux en même temps, ce qui serait très étrange, non? "Le comité d'éthique a décidé que votre expérience n'avait pas l'air d'être bien éthique même si elle ne contredit pas les règles, donc il a décidé de créer une nouvelle règle rien que pour vous pour vous interdire de la mener à bien". Le législatif, le judiciaire, et l'exécutif concentré dans un seul comité, c'est pas bien sain.
[^] # Re: Pas complètement nouveau
Posté par gouttegd . Évalué à 10.
1) « Confirmation » qui n’a été sollicitée qu’a posteriori, ce qui est déjà une violation en soi.
2) « Confirmation » qui n’a peut-être été obtenue que parce que les chercheurs se sont gardés de donner tous les détails de leurs projets :
L’idée selon laquelle la « recherche sur des sujets humains » ne peut concerner que la recherche biomédicale et tout ce qui a trait à la santé (excluant de fait, par exemple, toute la recherche en informatique) est précisément l’argument avancé par l’Université du Minnesota pour dédouaner son comité d’éthique.
Sauf que désolé, mais ça ne tient pas. D’autres universités dans le monde ont intégré l’idée que les personnes devaient être protégées dans tout type de recherche et pas seulement dans la recherche biomédicale. J’ai donné l’exemple plus haut de l’Université de Cambridge, qui a un comité d’éthique dans chacun de ses départements et pas seulement dans le département de sciences du vivant. Cette idée est aussi bien présente aux États-Unis comme le montre le Menlo Report mentionné dans la dépêche.
Source : « crois-moi, mec ».
Non. La règle (45 CFR 46.116) est que le consentement est normalement requis dans tous les cas. Il est possible de solliciter une exemption sous certaines conditions, mais c’est l’exception.
C’est ton droit d’avoir cette impression. Moi j’ai un peu l’impression que tu as une vision étriqué et poussiéreuse de l’éthique.
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 2.
Les deux aspects de la question sont indépendants.
Bah si, ça tient, puisque la loi Française ne prévoit rien de particulier en dehors du domaine biomédical. Tu ne peux pas imposer que tous les instituts de recherche suivent des règles confidentielles. Je ne comprends pas le raisonnement.
Sauf que dans le document que tu proposes, il y a une définition très claire de la vie privée:
"(4) Private information includes information about behavior that occurs in a context in which an individual can reasonably expect that no observation or recording is taking place, and information that has been provided for specific purposes by an individual and that the individual can reasonably expect will not be made public (e.g., a medical record)."
Et du coup, comment tu transformes une conversation sur une mailing list publique en information privée? Il semble évident que les mainteneurs du kernel savent que les conversations sont archivées. Il ne s'agit pas de conversations privées. Donc rien ne permet d'invoquer la vie privée dans l'affaire des commits pourris.
Encore une fois, cette histoire est assez grave sans avoir besoin d'inventer une violation douteuse de règles éthiques qui n'existent pas. Ce n'était pas une expérience sur des êtres humains, c'était une expérience éthiquement douteuse, mais pas pour cette raison.
[^] # Re: Pas complètement nouveau
Posté par gouttegd . Évalué à 7.
La loi ne le prévoit pas, donc le comité d’éthique n’a pas à se pencher dessus. OK. Merci de confirmer mon impression quand à ta conception de l’éthique.
Pas étonnant.
Je ne sais pas. De la même façon que tu transformes une obligation générale d’obtenir le consentement des personnes impliquées dans un projet de recherche en une obligation qui ne s’appliquerait que dès lors qu’on parle de vie privée ? À grand coup de mauvaise foi ?
L‘histoire est grave justement parce que des règles éthiques ont été bafouées, ce que tous les acteurs impliqués reconnaissent aujourd’hui, même les chercheurs à l’origine du projet (même si dans leur cas j’ai personnellement des doutes sur la sincérité de leur contrition).
Libre à toi de continuer de penser que ces règles n’existent pas. Ah bah oui c’est vrai, elles ne sont pas dans la loi, et l’éthique c’est la loi et juste la loi.
/plonk
[^] # Re: Pas complètement nouveau
Posté par arnaudus . Évalué à 5. Dernière modification le 27 mars 2022 à 11:29.
Mais pourtant, c'est EXACTEMENT ce que dit le document que tu as mis en lien. Le consentement est requis quand un protocole expérimental induit une intrusion dans la vie privée des sujets. Et il y a une définition claire de ce qu'est la vie privée. Qu'est-ce que tu veux de plus? Je ne comprends toujours pas où tu veux en venir.
Je suis complètement paumé par ton raisonnement. Les règles éthiques sont bien édictées quelque part, non? Il y a la loi, qui conditionne ce qui doit obligatoirement faire partie des règles d'éthique, et des comités d'éthique locaux (universités, agences de financement) qui peuvent aller au-delà de ce qui est requis par la loi. Violer une règle d'éthique, c'est violer un de ces réglements qui s'appliquent. Or, il ne semble pas que la loi ait été violée, et le comité d'éthique de l'université a conclu que l'expérience était conforme à leurs règles. Est-ce que ton argument, c'est que des règles "supérieures" ont été bafouées? Mais quelles règles, et dans quelle mesure ces règles s'appliquaient-elles à ces chercheurs?
Tu n'arrêtes pas de dire "tout le monde reconnait", "tous les acteurs impliqués", etc., mais tu parles de qui? L'université dit que c'est OK, et les auteurs n'ont jamais reconnu que leur projet était une expérience sur les humains. À ma connaissance, il n'y a pas de suites légales à cette histoire. Donc sur cette histoire de protocole, j'ai plutôt l'impression qu'au niveau institutionnel, c'est plutôt "circulez, il n'y a rien à voir". C'est de manière évidente quelque chose qui t'énerves, mais à part t'énerver, tu as des éléments qui montreraient le contraire?
Au passage, je me suis quand même tapé la lecture de 50 pages de réglements éthiques en anglais pour montrer qu'ils ne s'appliquaient pas au cas dont on discute, ça serait pas mal qu'on fasse tous des efforts dans l'argumentation et éviter les attaques personnelles (du genre "ça ne m'étonne pas que tu ne comprennes pas"). Tu peux être énervé, mais ça ne sert à rien de t'énerver contre moi. Depuis le début, je ne fais juste que rappeler le cadre réglementaire et le fait que cette histoire de dérive éthique ne s'applique probablement pas à cette situation, que le consentement n'est requis que lorsque des informations privées sont concernées, et que d'une manière générale les comités d'éthiques ne servent pas à ce que tu crois qu'ils servent: ils ne servent pas à protéger les gens contre les chercheurs de l'université, ils servent à protéger les chercheurs (employés par l'université) contre d'éventuelles poursuites. Si ça ne te plait pas, il ne faut pas tirer sur le messager.
[^] # Re: Pas complètement nouveau
Posté par gouttegd . Évalué à 9. Dernière modification le 27 mars 2022 à 13:15.
Mais moi non plus !
C’est toi qui a introduit la notion de vie privée dans le mix, je ne sais pas pourquoi !
Tu commences par
OK, je ne comprends d’où et pourquoi tu sors ça, mais soit, je te réponds en pointant l‘article de la loi américaine (en parlant d’Amérique du Nord tu parlais des USA, on est d’accord ?) que dit clairement que le consentement des participants à une expérience est, par défaut, requis :
Et là tu me sors la définition d’une information privée d’après cette même loi comme si ça te donnait raison ?
Comme dirait Greg Kroah-Hartman, qu’est-je ce que je suis supposé conclure ?
Puisque tu dis d’être farci la loi en entier, sors-nous le passage qui dit que les dispositions générales de l’article §46.116 (posant le principe que le consentement des sujets est requis) ne s’applique pas si des informations privées (telles que définies à l’article §46.102) ne sont pas impliquées.
Oh et au passage, puisque tu as lu toute la loi, j’espère que tu as apprécié le passage §46.104(d)(3)(iii), que dit que les recherches dans lesquels les sujets sont trompés (deceived) quand à ce que font les chercheurs ne sont pas couvertes par l’exemption pour les recherches n’impliquant que des « interactions bénignes ».
Nous ne sommes absolument pas d’accord sur ce point. Les règles éthiques ne sont en aucun cas limitées à ce qui est édicté par la loi.
Aux États-Unis (ce qui nous intéresse ici, les chercheurs relevant d’une université américaine), le Menlo Report ne fait pas partie de la loi. Il n’empêche qu’il représente l’état de l’art des principes éthiques qui régissent la recherche en « technologies de l’information et de la communication » (ICT). Il est attendu des chercheurs de ce domaine qu’ils suivent les principes de ce rapport, quand bien même il n’a pas force de loi.
Tu pourrais peut-être lire la dépêche au lieu de te farcir la loi américaine ? Mais soit.
La direction de l’Université du Minnesota, qui a annoncé avoir suspendu le projet (pourquoi l’aurait-il fait si ce projet ne posait aucun problème ?), qui, tout en continuant à défendre son comité d’éthique et sa lecture littérale de la loi (d’après laquelle, dès l’instant qu’on ne collecte pas d’informations médicales sur un sujet, on n’est pas dans le cadre de human subjects research), admet que, avec une telle lecture littérale, le comité d’éthique « ne saurait être le seul arbitre de l’éthique », et qui annonce revoir ses procédés en la matière.
Le comité d’organisation du symposium S&P 2021, qui était sur le point de retirer l’article de Qiushi Wu et Kangjie Lu, la seule raison pour laquelle ils ne l’ont pas fait étant que les auteurs l’ont rétracté avant. Une des raisons motivant ce retrait étant la violation flagrante des principes du Menlo Report.
Les auteurs de la lettre ouverte adressée à ce comité d’organisation à l’automne 2020.
La Linux Foundation.
Des internautes lambda.
Je me doute que tu n’accorderas guère d’importance aux deux voire aux trois derniers, mais les deux premiers ?
C’est toi qui depuis le début dis « ne pas comprendre la charge contre le comité d’éthique » et accuse les auteurs de la dépêche d’avoir « inventé des règles éthiques qui n’existent pas ». Excuse-moi de le prendre mal.
Tu es libre d’avoir ton interprétation des règles éthiques et de déterminer toi-même s’il y a eu violation ou non. Mais si tu penses que non, ce n’est pas à moi qu’il faut le dire. La dépêche ne fait que rapporter une interprétation largement consensuelle selon laquelle il y a bien eu violation. Libre à toi d’aller faire valoir ton point de vue aux acteurs impliqués.
[^] # Re: Pas complètement nouveau
Posté par lolop (site web personnel) . Évalué à 0. Dernière modification le 27 mars 2022 à 13:08.
Votez les 30 juin et 7 juillet, en connaissance de cause. http://www.pointal.net/VotesDeputesRN
[^] # Re: Pas complètement nouveau
Posté par antistress (site web personnel) . Évalué à 10. Dernière modification le 27 mars 2022 à 14:46.
Par exemple sur Wikipédia :
https://www.slate.fr/lien/52029/wikipedia-plagiat-eleves-enseignement-professeur
https://fr.wikipedia.org/wiki/Wikip%C3%A9dia:Liste_de_canulars
Si je prends ma marotte (l'éducation), ça me fait penser à deux expériences :
Celle de Rosenthal et Jacobson, captivante et importante dans ses résultats, mais qui pose la question éthique avec force
https://fr.wikipedia.org/wiki/Effet_Pygmalion#Exp%C3%A9rience_sur_les_enfants
Celle connue sous le nom de L’expérience de Stanford, qui présente des résultats bidonnés faute d'avoir pu confirmer la thèse, intéressante, de l'auteur
https://fr.wikipedia.org/wiki/Exp%C3%A9rience_de_Stanford
Au final je crois que la dépêche dit l'essentiel en faisant remarquer qu'il aurait suffit aux chercheurs de faire un examen rétrospectif des patchs déjà postés, mais j'imagine que le buzz aurait été moindre, et la glorification personnelle aussi, que d'être à l'origine desdits patchs.
Au final, cette étude mérite le bûcher des vanités https://fr.wikipedia.org/wiki/B%C3%BBcher_des_Vanit%C3%A9s
Nous sommes face à une tristement banale affaire d'égo qui a pollué tant la démarche scientifique (falsification des résultats) que lien de confiance entre humains (utilisation des relecteurs du code comme des objets d'étude)
# Vitesse
Posté par Zenitram (site web personnel) . Évalué à 10. Dernière modification le 26 mars 2022 à 12:21.
J'avais vu la dépêche traîner un moment dans l'espace de rédaction, mais la c'est comme le bon vin : ça a eu le temps de monter en qualité, et elle a bien fait de ne pas être jetée (il en était question à un moment si je me souviens bien), elle est d'un très haut niveau et très instructive sur les rapports humains, et reste d'actualité comme apprentissage des bonnes pratiques.
[^] # Re: Vitesse
Posté par Jehan (site web personnel, Mastodon) . Évalué à 10.
J'allais dire la même chose. Cette dépêche est une démonstration précise de pourquoi ceux qui veulent — comme certains régulièrement sur LinuxFr (et comme certains admins le savent ici, j'ai un très mauvais souvenir d'un tel exemple au point que j'ai demandé à ce que mon nom soit retiré comme auteur d'une dépêche dans laquelle j'avais mis déjà vraiment pas mal de travail et qui fut publiée sans mon consentement dans un état incomplet, alors que j'avais explicitement refusé la publication immédiate; à l'époque, j'avais même hésité à continuer d'utiliser l'espace de rédaction à cause de ça car ça m'avait dégoûté de contribuer; c'est dire si je suis encore aigri par cette histoire!) — absolument précipiter les dépêches ont souvent tort. Et pour quoi au juste? Juste ne pas avoir trop de dépêche dans l'espace de rédaction ou en publier plus? Quel intérêt? On n'est pas là pour faire du chiffre!
Mieux vaut une dépêche bien référencée, structurée, et avec une vraie recherche derrière (comme ici), ainsi que des réflexions de fond, que des dépêches "actualités", quasi vide de sens hormis du contenu de surface copié-collé 1000 fois ailleurs, pièges-à-clic. Que les journalistes en prennent de la graine, c'est ça que devrait être du bon journalisme.
En l'occurrence, celle-ci aura mis le temps, mais elle en sort clairement par le haut. Je l'ai lu y a une semaine ou 2 dans une version presque finie sur l'espace de rédaction. Je vais maintenant la relire en version finale (je vois qu'y a eu quelques changements encore en lisant en diagonale)!
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Vitesse
Posté par bistouille . Évalué à 9.
Bonjour,
Si plus de monde pensait comme vous dans le monde académique et dans la presse, nous ne serions pas submergés de papiers au mieux inutiles, au pire de "scoops" s'avérant faux après coup, et certains mandarins-malandrins poussés par la quête sans fin du "h-index" maximal n'auraient pas atteint le pouvoir de nuisance qu'ils ont actuellement.
Cette affaire est une énième démonstration de la nocivité de ce système "publish or perish".
Comme vous le rappelez si bien "on n'est pas là pour faire du chiffre", c'était d'ailleurs un slogan ironique de matheux du mouvement "Sauvons la Recherche" il y a ~15 ans…
[^] # Re: Vitesse
Posté par antistress (site web personnel) . Évalué à 10.
Il a sans doute fallu le temps au comité éthique de LinuxFr de s'assurer que cette dépêche n'introduisait pas de failles (=contre-vérités) dans le contenu du site
[^] # Re: Vitesse
Posté par Sten Spårvagnhög (site web personnel) . Évalué à 2.
Entièrement d'accord ! D'ailleurs, es-tu au courant pour WindowMaker 0.70.0 qui est out ?
# Excellent papier
Posté par stopspam . Évalué à 10.
Même si j'ai un peu suivi cette histoire l'année dernière, ça ne m'a pas empêché de lire au complet la dépêche et d'y suivre chacun des liens.
J'ai aussi aimé la dernière partie qui au fond explique que le sujet de recherche aurait pu être très intéressant si amenée différemment.
Je trouve la citation de GKH absolument vraie et bien récupérée dans le contexte.
Bref excellente dépêche sur le fond et la forme !
# Neoflame
Posté par windu.2b . Évalué à 10.
Un très grand bravo à Neoflame, qui a dû aller chercher dans le noyau Linux, a priori sans savoir ce qu'il cherchait : ni nom ni email des auteurs, pas de date, pas de nom de fichiers concernés, pas de hash des commits, pas de bouts de code, … rien pour le mettre sur la piste, et le type retrouve les 3 patches en question !
La seule piste qu'il pouvait avoir, c'est l'intuition que les patches étaient récents (1 an max.) et provenant de nouveaux contributeurs, et non de contributeurs habituels qui auraient, du jour au lendemain, décidé de foutre le bordel dans le noyau. OK, mais ça représente combien de patches, ça ?
# Erreur ?
Posté par tala . Évalué à 8.
Super article qui m'a appris plein de choses et avec les conclusions duquel je me sens en accord à 100%.
Par contre, je crois qu'il y a une erreur dans "l'estimation" de l'efficacité du contrôle des patchs soumis :
On parle donc de la probabilité qu'un patch problématique soit accepté.
En gros, le nombre de patchs problématiques acceptés sur le nombre de patchs problématiques soumis.
La probabilité indiquée est celle qu'un des patch soumis soit problématique.
En gros, le nombre de patchs problématiques acceptés sur le nombre de patchs acceptés.
Merci en tous cas pour ce travail.
[^] # Re: Erreur ?
Posté par gouttegd . Évalué à 9.
Ah oui, bien vu.
Le chiffre de 18% est effectivement mal présenté, il reste intéressant mais ce n’est pas la probabilité qu’un patch problématique soit accepté.
Ce qu’il faudrait savoir, c’est au-delà des 442 patchs acceptés en provenance de l’Université du Minnesota, combien de patchs les chercheurs de cette université ont-ils soumis sur la même période ? 500 ? 1000 ? Et parmi ceux qui n’ont pas été acceptés, combien ont été rejetés parce qu’ils étaient « problématiques » ?
Un volontaire pour éplucher la LKML et ressortir tous les patchs en provenance d’une adresse en
@umn.edu
(pas seulement ceux qui ont été acceptés) ? Pour la science ? :DNeoflame est demandé sur LinuxFR.org. Je répète, Neoflame est demandé sur LinuxFr.org…
# Commentaire supprimé
Posté par Anonyme . Évalué à -4.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 10. Dernière modification le 27 mars 2022 à 20:23.
Permets-moi d’en douter fortement.
La polémique sur l’aspect « c’est de la recherche sur des sujets humains » a éclaté dès l’annonce de l’article en novembre 2020, à une époque où rien ne permettait de deviner que l’étude était bidonnée.
Le bidonnage ne deviendra apparent qu’en avril 2021, quand suite à la polémique
Le fait que l’étude n’a pas été menée sérieusement et, en particulier, a été bidonnée n’a justement été découvert que grâce à la polémique sur les manquements éthiques liés à l’implication de sujets humains.
Alors prétendre que la polémique n’aurait jamais eu lieu sans le bidonnage, c’est juste factuellement faux.
Ta position est exactement celle des chercheurs. Si on ne peut pas réaliser l’étude qu’on veut en suivant les principes éthiques, eh ben on dit fuck l’éthique et pis c’est tout.
Tu compares une situation où une entreprise demande expressément à un pen-testeur de faire un audit à une situation où les chercheurs ont décidé unilatéralement et sans prévenir quiconque de procéder à une expérience. Et tu dis que c’est « exactement la même chose » ?
C’est la foire à la mauvaise foi aujourd’hui ou quoi ?
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 10.
Pour ceux qui s’inquiéteraient de ce que l’importance accordée à l’éthique pourraient empêcher d’honnêtes chercheurs de juste faire leur travail (foutus wokistes avec leur éthique à la con, dans le temps on ne s’embarassait pas avec ça, tout fout le camp ma pauvre dame) :
Les règles américaines prévoient explicitement des échappatoires pour le cas des recherches où fournir aux sujets la description complète des expériences serait incompatible avec lesdites expériences.
Il est notamment possible de donner aux sujets une description incomplète voire même une description délibérément trompeuse. En gros, on dit aux sujets « on veut observer votre réaction quand on fait X », alors que X sert juste à détourner l’attention pendant que les chercheurs observent en réalité la réaction des sujets face à Y.
Il y a des conditions à respecter pour que ça passe, comme
Tout ça pour dire que l’éthique ne signe pas nécessairement la mort des projets de recherche.
Évidemment, c’est contraignant, ça demande plus de boulot que de simplement dire « c’est pas de la recherche humaine que je fais, donc rien à battre de l’éthique ». C’est le but.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 7.
Voici une des premières réactions suscitées par le tweet d’annonce (et une des plus importantes puisqu’elle émane de Sarah Jamie Lewis, qui comme mentionné dans la dépêche est à l’origine de la lettre ouverte adressée aux organisateurs du S&P 2021), je te laisse juger quel aspect du résumé l’a fait réagir :
Le fait que ça ne soit pas « évident » n’excuse rien. D’autres (comme Sarah Jamie Lewis) ont vu le problème immédiatement.
Par contre, il est clair que les chercheurs ne sont pas les seuls fautifs ici. Quand bien même ils auraient compris dès le départ (avant même de commencer leur étude) les implications éthiques de leur projet, s’ils avaient sollicité leur comité d’éthique il est à craindre que celui-ci, qui ne semble concevoir son rôle qu’à travers le prisme des recherches biomédicales, leur aurait répondu « non, ne vous inquiétez pas, vous ne collectez pas d’informations médicales sur vos sujets donc ce n’est pas de la recherche humaine ».
C’est bien ce que je dis dans la dépêche : au-delà des seuls chercheurs, l’Université du Minnesota ne s’est pas illustrée dans cette histoire. La direction en est d’ailleurs bien consciente s’il faut en croire leur réponse à la Linux FOundation :
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 3.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 9.
Là on est d’accord.
Je pense personnellement que les chercheurs sont secrètement bien contents que tout le monde se soit focalisé sur leurs manquements à l’éthique, et qu’à côte de ça leurs manquements à l’intégrité (aka fraude, ou scientific misconduct si on pense que « fraude » est un grot mot) soient passés complètement sous silence.
Seuls les organisateurs du S&P 2021 mentionnent brièvement la fraude (sans jamais utiliser ce mot) dans leur communiqué annonçant le retrait du papier. Ni les chercheurs, ni leur université n’ont dit mot à ce sujet (la Linux Foundation non plus mais ça à mon avis c’est plus compréhensible, c’est pas tellement leur problème).
À ma connaissance aucun autre article paru au sujet de cette affaire n’a jamais mentionné la fraude. Merde, ça a même été une de mes motivations principales pour finir cette dépêche.
[^] # Re: Procès d'intention
Posté par kantien . Évalué à 6.
Un comité d'éthique qui validerait une telle justification serait un comité de chien galeux!
Dans l'affaire du journal les auteurs de l'étude se sont révélés doublement trompeurs et mensongers :
Certes la déontologie kantienne est contraignante, au point que Charles Péguy lui reprochait d'avoir les mains pures mais de ne pas avoir de mains (ce qui rejoint le point selon lequel, si l'on suit des principes éthiques, on ne peut plus rien faire), mais à aucun moment la tromperie, la duperie ou la fourberie ne peuvent être considérer comme éthiquement recevables. Quand bien même cela serait fait dans une « bonne intention » : D'un prétendu droit de mentir par humanité.
Ça me fait penser qu'il faudrait que je commande la version papier de Récoltes et Semailles de Grothendieck. :-)
Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 3.
Que penserait Kant des essais cliniques en double-aveugle ? C’est pas éthiquement acceptable de donner un placebo aux patients du groupe contrôle en leur faisant croire qu’on leur donne une molécule active ? Il vaut mieux avoir des médicaments dont on n’est pas certain de l’efficacité au-delà de l’effet placebo ?
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 4.
En y repensant je suppose qu’on peut s’en sortir en disant au patient « on vous donne un médicament OU un placebo ». C’est la stricte vérité, mais je demande où ça se place en terme de tromperie, duperie ou fourberie — ça reste de la rétention délibérée d’information, c’est éthiquement recevable m’sieur Kant ?
[^] # Re: Procès d'intention
Posté par kantien . Évalué à 9.
Voilà, tu as trouvé la réponse tout seul. La détention d'information n'est pas nécessairement immorale, d'autant qu'ici elle résulte clairement du contrat passé entre les expérimentateurs et les patients, qui acceptent en connaissance de cause.
La position radicale de Kant sur le mensonge a fait couler beaucoup d'encre, surtout depuis la seconde guerre mondiale et son texte polémique avec Benjamin Constant (le dernier lien de mon commentaire, sur le prétendu droit de mentir par humanité) qui peut générer ce problème éthique : si un officier nazi (disons Adolfo Ramirez, « c'est français, police française ! ») me demande si j'héberge et cache un juif chez moi, puis-je lui mentir ? Kant répondrait par la négative : tu ne dois pas mentir… mais rien ne t'oblige à lui répondre. ;-)
Sa position sur le mensonge se fonde sur sa conception contractualiste du fondement du droit. En mentant, même si l'on ne commet pas directement une injustice envers la personne à qui l'on ment, l'on commet une injustice de manière générale envers l'humanité en sapant la source de tout contrat : la confiance réciproque entre les deux parties, sans laquelle aucun contrat n'est possible.
Dans le monde du libre, il y a un contrat tacite de bonne foi entre tous les participants, contrat rompu par l'attitude des chercheurs à l'origine de l'étude. Ce qui explique la réaction de Greg Kroah-Hartman vis à vis des contributions de l'université du Minnesota. Ce thème a été également repris et bien développé par Jehan dans ce commentaire et mène inéluctablement à cette conclusion :
Ainsi, une telle maxime (mentir quand ça nous arrange), si elle s'universalisait, détruirait toute confiance entre les hommes et rendrait impossible l'établissement de contrats et donc d'un état de droit stable et durable.
Dans le cas de l'étude en question, il semble, également, y avoir une entorse au principe fondamental du devoir :
La tromperie dont les auteurs ont fait preuve, vis à vis de mainteneurs du noyau, semble ne considérer leur humanité que comme moyen et non comme fin : ce ne sont que de simples pions dans leur protocole; ce qui explique également la réaction vindicative de l'équipe du noyau.
Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 10.
Euh, je ne suis pas philosophe, mais j’aimerais quand même avancer l’idée que la présence d’un officier nazi vraisemblablement armé et pas forcément disposé à accepter une non-réponse n’est pas tout-à-fait « rien ». :)
[^] # Re: Procès d'intention
Posté par kantien . Évalué à 4. Dernière modification le 29 mars 2022 à 15:01.
Pas besoin d'être philosophe pour avancer un tel point, et d'ailleurs certains l'on déjà effectivement fait. ;-)
Tout d'abord, Kant n'a nullement dit (ni moi) que ce n'était pas « tout-à-fait rien » que de refuser d'obéir à l'injonction, dans une telle circonstance, afin de faire son devoir. Maintenant, faisons une petite variation sur ce dilemme, dans un contexte plus proche de toi : cette fois l'officier exige de toi que tu lui fournisses ta clef privée pour déchiffrer la correspondance que tu as avec des résistants, ce qui lui permettra de les localiser ainsi que les juifs qu'ils protègent. Même si tu ne peux affirmer que tu résisteras à toutes les tortures qu'il te fera subir, tu dois pouvoir sentir en toi que l'idée de te taire et de retenir cette information n'est pas inenvisageable; car tel est ton devoir.
Pour en revenir au dilemme précédent, que tu lui dises ou non la vérité, il y a de forte chance que ton sort soi déjà scellé. Il y a peu de chance que l'officier te croit sur paroles, qu'il vérifie lui même en fouillant les lieux avec ses hommes !
Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.
[^] # Re: Procès d'intention
Posté par kantien . Évalué à 3.
Oups ! Il y a une double négation erronée dans ma réponse précédente. Il faut lire :
Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.
[^] # Re: Procès d'intention
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3.
Il me semble que tu conditionnes ton aptitude à te taire ou balancer aux sales quarts d'heures que risque de te faire passer la Gestapo… Mais la vérité kantienne est pour elle-même et par principe, si j'i bien compris, et donc ne devrait pas être influencé par la conséquence de sa diction (ah tiens, beaucoup de gens mentent en pensant éviter de fâcheuses ou désagréables conséquences.)
Ce qui m'intéresserait le plus serait de mieux circoncire la définition du mensonge, ce qui permettra de répondre que se taire n'est pas mentir (position que nous partageons tous les trois) ou peut être une forme de mensonge par omission (vision amenée par je ne sais plus quel courant de théologiens catholiques.)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Procès d'intention
Posté par Renault (site web personnel) . Évalué à 4. Dernière modification le 28 mars 2022 à 17:29.
Je croyais que dans le cas où un traitement existe déjà et que le but est d'évaluer l'efficacité d'un nouveau traitement, on comparait dans les études non pas avec un placebo mais avec le traitement de référence pour ne pas faire perdre de chances aux participants qui n'auront pas le nouveau traitement. Je me trompe ?
Par contre placebo vs nouveau traitement (sans traitement existant et validé pour la pathologie) je ne vois pas spécialement le problème éthique : tant que le nouveau traitement n'est pas validé, on ne peut partir du principe que de le recevoir est mieux que de ne pas donner la molécule active.
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 5.
Ça dépend du type d’essai, mais en principe quand on veut tester l’efficacité, oui, s’il existe un traitement de référence c’est ce qu’on donnera au groupe contrôle. Si on veut tester l’innocuité (essai de phase I), normalement on donnera un placebo.
La question ici n’est pas de savoir s’il est éthique de donner un placebo, mais s’il est éthique de ne pas donner une information complète au patient. Il est acquis en matière d’essais cliniques qu’idéalement les patients ne doivent pas savoir s’ils ont reçu un placebo ou la molécule à tester (les médecins non plus d’ailleurs, c’est pour ça qu’on parle de double-aveugle), je me demandais si c’était compatible avec la déontologie kantienne.
[^] # Re: Procès d'intention
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 3.
Pas que doublement trompeurs et mensongers ; il ne faut pas oublier leur attitude face à leur comité universitaire. Comme on dit vulgairement, ça ment comme ça respire…
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Procès d'intention
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 9.
J'adore l'inversion accusatoire qui marche bien sur certaines personnes.
Dans ton exemple, tu parles d'audit …donc d'un truc cadré et fait à la demande de l'entreprise (te le précise entre parenthèses.)
Ensuite tu nous dis qu'une étude est un un audit ? Passons, tu pousses le bouchon jusqu'à faire croire que l'équipe noyau aurait fait la demande expresse à l'université (sans ça ton analogie ne tient pas : l'expert en sécurité ne décide pas unilatéralement de tester une entreprise, c'est dans ce cas un pirate puni par la loi et non un expert payé par l'entreprise.) Et pour finir les chercheurs auraient remis leur rapport d'audit au demandeur ? Trois points sur trois ne sont pas vérifiés dans ton analogie mais bien tenté.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par Zatalyz (site web personnel) . Évalué à 8.
Si tu veux aller au bout de l'analogie, ce serait plutôt comme si une boite de sécurité informatique décidait de faire un test d'intrusion sur une entreprise sans avoir été sollicitée en amont. Quand un hacker rentre par une faille et dit "hey, c'est tout troué ici, regardez, j'ai mis mes trucs !" ce n'est pas vraiment bien perçu. Ce n'est d'ailleurs pas ce qui est attendu, éthiquement parlant. Il faut qu'au moins la direction aie donné un accord en amont. Sinon, et bien… c'est juste du piratage, peu importe l'intention de celui qui utilise les failles de la sécurité.
On peut tourner ça comme on veut, mais à aucun moment cette étude n'a été approuvé par qui que ce soit au sein de la Linux Fondation.
[^] # Re: Procès d'intention
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 28 mars 2022 à 02:34.
Je suppose que tu n'as pas lu la réponse de tissac qui parle justement des personnes auditées qui sont mises au courant.
Mais ça n'enlève rien au fait que l'analogie est foireuse parce-qu'il ne s'agit pas de mettre au courant les personnes individuellement mais la hiérarchie (charge à elle de savoir vers qui redescendre l'information ou pas) et là ces prétendus chercheurs n'ont contacté aucune autorité représentative mais ont pris leur décision de sabotage unilatéralement.
Déso de remettre une couche, ce point ayant été soulevé par Zatalyz et Zenitram, mais tu sembles pas voir que tu fais un parallèle entre un kiwi et un oignon.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -2.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
C'est le même problème que dans ton exemple avec l'entreprise : tu préviens la hiérarchie …pour ne pas avoir à gérer les employés individuellement (c'est juste simple et pratique, pas légal.) Mais t'as pas le choix si la structure du groupe n'est pas pyramidale (un club, une coopérative, un groupe d'indépendants, etc.)
C'est le même problème qui est qu'on prévient ; qu'il y ait des strates ou non ne devrait pas changer la règle de base, et c'est là que ton raisonnement est fallacieux. (ou alors tu tentes juste de justifier ton absence de sens moral.)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par Zenitram (site web personnel) . Évalué à 1. Dernière modification le 28 mars 2022 à 14:29.
Mais alors pourquoi autant de poncifs pour juste tourner autour du pot : dit plus explicitement que pour toi manipuler les gens, leur faire perdre du temps (et donc de l'argent) qu'ils n'ont pas demandé et sans aucune contrepartie, et d'éjecter les plus faibles c'est OK pour toi. Bizarrement tu as besoin d'enrober pour que tu arrives à te convaincre… Sans convaincre tes lecteurs qui te font remarquer où ça merde que c'est "bien".
La morale, ou plutôt l'éthique ici (oui, il y a une différence), est fluctuante, oui, pas de chance pour toi il semble que tester et faire perdre du temps aux gens sans leur consentement devient d'un commun accord pas correct pour un vivre ensemble.
Après, personne ne t'interdit de faire un groupe de personnes qui partagent ta façon de voir, mais par contre une fois que tu es explicite sur tes idées pas sûr que tu arrives à regrouper du monde. Le monde Linux en tous cas n'y participera pas (ni ceux qui te répondent ici), et ils l'ont mis par écrit pour bien te le faire comprendre : si tu penses ça, c'est comme pour les homophobes/racistes/sexistes/autres emmerdeurs : nous t'ignorerons (et on t'explique pourquoi, on est quand même sympas de t'expliquer), nous ne ne ne sommes pas spécialement intéressés par tes contributions qui nous coûtent plus cher à vérifier que ce qu'elles nous apportent.
(et c'est sans doute ce qu'il faut faire ici : on a expliqué, il est temps d'ignorer si ça persiste)
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 8.
Les règles américaines prévoient aussi des échappatoires pour ce genre de cas. Lorsqu’il n’est pas réaliste d’identifier a priori toutes les personnes qui pourraient se retrouver, sans le savoir, impliquées dans une étude, le comité d’éthique peut accorder une dérogation où le consentement explicite de chaque participant peut être remplacé par une autorisation générale émanant d’un représentant légal parlant pour tous les participants potentiels.
Ici, la Linux Foundation aurait probablement pu jouer ce rôle.
Je ne dis pas que c’est forcément ce que les chercheurs auraient du faire, je dis simplement que s’ils avaient voulu mener leur recherche dans le respect des règles éthiques, il y avait des solutions à trouver.
Prétendre qu’ils ont agi comme ils l’ont fait parce qu’ils ne pouvaient pas faire autrement est juste faux.
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à 0.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par tisaac (Mastodon) . Évalué à 7.
Dans ma boite, on a été mis au courant de la possibilité d'avoir du faux phishing. On ne sait pas quand ni comment mais l'on est bien informé que cela peut arriver. Cela fausse-t-il les résultats ? J'en doute et même si c'était le cas, bien malin celui qui peut me prouver si c'est plutôt dans un sens ou dans l'autre.
Surtout, ne pas tout prendre au sérieux !
[^] # Re: Procès d'intention
Posté par Dring . Évalué à 5.
Tiens, intéressante question. Ils y a eu des vagues par chez nous aussi, et je n'ai aucun souvenir du mail qui nous aurait prévenu. Uniquement de celui qui a fait une rétrospective de l'exercice (dont le but était la sensibilisation aux règles de sécurité).
Imaginons néanmoins qu'on ait reçu un email pour nous prévenir ; il n'appelait sans doute pas à réponse (là, je m'en souviendrais). Et ça ne fait pas office de consentement pour autant.
Alors, éthique ou pas éthique ?
Imaginons (cas qui correspond à mon souvenir) qu'il n'y ait pas eu d'avertissement du tout.
La société d'audit a signé avec l'employeur. Le contrat liant l'employé avec l'employeur, c'est le contrat de travail et ses annexes (dont le règlement intérieur). Je sais qu'il n'y a rien à ce sujet dans le contrat de travail ; je doute que ce soit dans le règlement intérieur.
Je trouve un peu facile de dire "ah mais la société d'audit elle a signé avec l'employeur, donc c'est bon, c'est éthique". C'est éthique pour la société d'audit. Mais la question ne s'arrête pas là, non ? Le but, c'est bien de se demander si c'est éthique par rapport à la personne testée, non ?
La fondation Linux aurait signé un papier avec l'université l'autorisant à procéder, sans prévenir les développeurs du noyau, tout le monde aurait gueulé de la même façon ou pas ? J'imagine que oui. Je sais, il n'y a pas de contrat entre la fondation Linux et les développeurs, mais si il n'y a pas de clause explicite dans mon contrat de travail ni d'avertissement préalable, ça ne fait pas vraiment de différence. Mon rapport de subordination vis à vis de mon employeur ne l'autorise pas à manquer d'éthique à mon égard.
Ou alors l'éthique c'est juste comme la morale, un truc à géométrie variable en fonction de la culture, de l'époque, bref du contexte ?
J'ai vu plus bas Kantien partager un peu sur les aspects philosophiques liés à l'éthique ; quelques références bibliographiques seraient bienvenues pour agrémenter les soirées d'hiver qui nous attendent en cette semaine de printemps :-).
[^] # Re: Procès d'intention
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 6.
Je crois avoir relevé le cas vite fait dans un autre commentaire.
Il y a consentement de l'entreprise auditée par rapport aux auditeurs. Dans le cadre d'une entreprise (pyramidale), la hiérarchie décide pour la base …donc l'acceptation du haut vaut pour celle du bas : la personne auditée a comme donné son accord (et il y a certaines des clauses de ton contrat de salarié qui font que tu peux être assujetti à beaucoup de choses comme ça sans qu'on demande ton avis). En cas de désaccord, ou de conséquence fâcheuse, la personne employée se retourne contre la représentation de l'entité qui l'emploie.
La comparaison est biaisée parce-qu'il y a transfert par intermédiaire (qui se doit de faire le boulot à son niveau car ton rapport de subordination n'autorise pas ton employeur ou ton employeuse à ne pas avoir de sens moral à ton endroit.) Si la L.F. était en position de signer directement avec l'université, on aurait été dans le même cas, et ça aurait gueulé aussi (sauf que ce serait les devs envers la fondation pour son manquement à l'éthique d'une part et contre le papier bidonné d'autre part.)
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Procès d'intention
Posté par kantien . Évalué à 4. Dernière modification le 30 mars 2022 à 19:20.
Disons que j'ai partagé certains aspects de la déontologie kantienne, déontologie qui ne fait pas l'unanimité dans les cercles philosophiques (loin de là). On peut trouver des positions conséquentialistes, utilitaristes, amoralistes… Il y a sur, la chaîne youtube de Monsieur Phi, une playliste consacrée à la philosophie morale.
Pour une comparaison entre le kantisme et le logiciel libre, il y a une conférence de Véronique Bonnet, lors d'une Ubuntu Party, intitulée « Éthique du libre : une lecture philosophique ». On peut trouver la transcription avec source vers la vidéo sur le site de l'April. En particulier, ce passage souligne la distinction que ne cesse de faire RMS entre le mouvement du logiciel libre et celui de l'Open Source :
L'approche de RMS n'est pas ce que Kant qualifiait de pragmatique, mais catégorique : je ne peux pas ne pas donner les droits que confèrent le logiciel libre aux utilisateurs de mon code; là où un pragmatique y verra un moyen pour développer un logiciel plus sûr et stable.
Ensuite si tu veux une bibliographie sur cette approche, le plus simple est de remonter à la source : Fondements de la métaphysique de mœurs et Critique de la Raison pratique. Le première se veut un ouvrage populaire et plus simple d'accès, là où le seconde est fondamentalement un ouvrage théorique plus compliqué à assimiler, surtout si l'on n'est pas familiarisé avec la méthode kantienne.
Globalement, et pour faire très simple, son approche est analogue à celle utilisée pour typer statiquement les langages fonctionnels. Il va faire jouer la table des catégories que l'on trouve dans la Critique de la Raison pure. On la trouve ici sur wikisource. Cette table est une image en miroir de celle des jugements empruntée à la logique formelle, que l'on trouve dans le paragraphe précédent.
Lorsque l'on juge une action humaine (éthiquement-moralement ou juridiquement), on considère l'auteur de l'action comme cause d'un événement dans le monde. Ici il fait jouer la troisième catégorie de la relation (cause et effet) qui renvoie aux jugements hypothétiques de la logique formelle. C'est là que l'on voit l'analogie avec le typage dans les langages de programmations :
La fonction
apply
a pour type la règle du modus ponens, qui est celle que l'on utilise sur les jugements hypothétiques : si A alors B, or A donc B. On retrouve aussi son lien avec le rapport de cause à effet, lorsque l'on utilise la logique de Hoare pour analyser le comportement d'un code dans un langage impératif. C'est la règle de composition des instructions :Ici la règle dit que si l'instruction
S
fait passer la machine de l'étatP
à l'étatQ
et que l'instructionT
fait passer la machine de l'étatQ
) l'étatR
, alors la séquence d'instructionsS ; T
fait passer la machine de l'étatP
à l'étatR
. Mais qui dit changement d'états, dit cause agissante…[1] Et cette règle est l'équivalent de la composition de fonctions, qui est une double application du modus ponens etc.Bon, là c'est bien, c'est formel, tout beau tout propre. Mais si l'être humain, en agissant, est cause d'événements dans le monde, il utilise pour cela des moyens en vue de certaines fins, les fins étant les états qu'il veut voir se réaliser dans le monde. La question éthique qui se pose alors est : quelles fins sont permises, lesquelles ne le sont pas ? Quelles sont les lois qui régissent ce système de moyens et de fins ? Pour traiter cette question Kant va utiliser la logique modale, c'est-à-dire la catégorie de la modalité dans le tableau du premier lien :
À chaque modalité va correspondre un type d'impératifs, c'est-à-dire de règle d'action.
La première (possibilité) donne les impératifs techniques : si tu veux du pain, construis un moulin. Ici on relie une fin (je veux du pain) à un moyen (construits un moulin), parce que l'objectif est seulement possible (tout le monde ne veux pas forcément du pain).
La seconde (existence) donne les impératifs pragmatiques, ce sont des règles qui relie aussi une fin à des moyens pour y parvenir, mais cette fois la fin est considérée comme réelle (existe) pour tout le monde : la recherche du bonheur.
Viens enfin la dernière modalité : la nécessité. C'est elle qui détermine la notion du devoir, le devoir (il faut que) rendant nécessaire une action; la loi du devoir ne détermine pas tant les moyens que les fins que l'homme se doit de se proposer. Puis la nécessité d'une chose étant l'impossibilité du contraire, on retrouve le « je ne peux pas ne pas » de la conférence de Véronique Bonnet.
Enfin, pour une développement formel et détaillé de ce que je n'ai fait qu'esquisser, je renvoie aux deux ouvrages sus-cités de Kant. :-)
[1]: On pourrait, par exemple, exprimer la seconde loi de Newton avec la même syntaxe que celle du formalisme de la logique de Hoare.
Sapere aude ! Aie le courage de te servir de ton propre entendement. Voilà la devise des Lumières.
[^] # Re: Procès d'intention
Posté par Jehan (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 27 mars 2022 à 21:38.
C'est une blague? Si quelqu'un vient me faire le coup sur un des logiciels que je maintiens, ben déjà rien que la perte de temps est énorme. Les gens semblent croire que les petits patchs ne prennent pas de temps. Pas du tout, ce sont les pires proportionnellement à ce qu'ils apportent. Ils prennent souvent plus de temps que si on réimplémentait soi-même lorsque le patch n'est pas directement utilisable. Dès qu'il y a un seul aller-retour de revue, on a déjà perdu du temps. Et même sans cela, même un oneliner, j'ouvre le dépôt de source, je regarde le code aux alentours, le contexte du patch, quand et comment la fonction est appelée, je réfléchis si c'est vraiment la meilleure solution (c'est à dire que même si ça corrige, je ne me contente pas de cela mais étudie si on ne peut pas corriger plus sainement), etc. Même un tout petit truc, on vérifie et ça prend du temps (parce qu'on va pas pousser n'importe quoi; je sais que certains projets font un peu à l'arrache, mais je peux imaginer que les mainteneurs du noyau Linux seraient au moins aussi pointilleux que je le suis).
Ensuite je le fais avec plaisir dans un contexte normal parce qu'un contributeur exceptionnel (dans le sens "juste une fois") peut potentiellement se transformer en contributeur récurrent. Aussi parce que c'est le jeu et que si quelqu'un propose un patch après avoir découvert un problème, c'est pas cool de juste réimplémenter soi-même en disant "c'est pas bon" (on le fait exceptionnellement lorsque le contributeur ne répond plus et que la bonne solution est suffisamment différente). Et même pour les super-débutants qui font vraiment parfois un peu n'importe quoi (par exemple: on a parfois des gens qui se présentent comme des étudiants et on comprends qu'ils contribuent dans le contexte de leur formation universitaire), ben je prends plaisir à les guider même lorsque ça prend des plombes (parfois pour des patchs vraiment minimes, genre ils corrigent des warnings, et pourtant on arrive quand même à avoir 10 aller-retours car ils sont trop débutants et comprennent pas les consignes de revue de code).
Pourquoi ça me va? Car tous ces gens sont de bonne foi. Par contre si un mec me fait ça comme un "test", là j'aurais tout simplement perdu mon temps, celui du projet, celui des autres contributeurs, celui de tout le monde en gros: c'est pas un nouveau contributeur récurrent potentiel, c'est pas quelqu'un qui jouait le jeu du libre, en vrai c'est pas pour corriger quelque chose au final, c'est même pas juste un débutant que je suis heureux d'aider; puis ça a repoussé les vrais revues de code de vrais contributeurs, ça a donc aussi sûrement soit repoussé la prochaine sortie soit déplacé des corrections une version plus tard, ça m'a aussi fatigué inutilement… Non au final c'est juste quelqu'un qui se foutait de la tronche des contributeurs et a fait perdre possiblement des dizaines de minutes voire des heures à tous pour juste pouvoir écrire un papier de merde.
Et franchement quand je vois le temps qui me manque pour améliorer GIMP aussi vite que je l'aimerais, les heures perdues, je les sentirais passer.
Second point: si le patch passe, ben c'est une faille introduite dans un logiciel utilisé par le monde entier. Les "chercheurs" ont bon dos de dire après coup "ah mais si ça passait vraiment, on l'aurait révoqué". Parce que dans les faits, on sait qu'ils n'ont fait passé qu'un patch, le seul "bien écrit" par erreur (les boulets), et justement ben ils l'ont pas révoqué. Alors on peut aussi dire que c'est justement parce qu'ils se sont rendus compte qu'ils ont fait l'erreur de ne pas introduire de faille. Mais rien ne prouve qu'ils auraient vraiment révoqué un patch réellement malicieux (leur parole une fois qu'ils se sont fait prendre la main dans le sac ne vaut plus grand chose). Donc pour autant qu'on sache, il y a bien l'impact d'introduire une vrai faille dans un noyau utilisé partout dans le monde (mais ça aurait été n'importe quel logiciel, même plus petit, le problème est le même, hein! Ça reste une faille introduite). Aucun impact, vraiment?
Troisièmement, c'est peut-être que je suis pas un moine qui a atteint le nirvana, quand on se fout de moi, qu'on m'arnaque (même si c'est "pour de faux, en vrai c'est pour la science"), ben ça me la fout très mal. Il y a des contributeurs du libre qui ont été totalement déçus et ont tout lâché pour moins que ça. Je te souhaite de pas subir trop souvent ce genre de désagrément car c'est vraiment pas cool. Oser dire que y a pas d'impact là aussi, notamment psychologique et sur le moral, ben c'est se foutre de la gueule du monde. Mais je suis sûr que les gens qui font ce genre de choses, ou participent à d'autres types de tromperies se donnent une bonne conscience en se disant que "y a pas (ou peu) d'impact". Même les gens qui font des petites arnaques ou les petits voleurs à la sauvette se disent sûrement que "c'est pas grand chose, il/elle va pas en mourir". Mais justement c'est le genre de trucs qui font de la vie quotidienne un enfer, tous ces gens qui profitent d'autrui au jour le jour en se disant que c'est pas grand chose. Donc on a des agressions psychologiques tout le temps. Et si, c'est beaucoup, désolé.
En fait même devoir l'expliquer m'attriste. Il y a vraiment un problème plus profond si on a besoin d'expliquer que faire ce genre de trucs à autrui, non ce n'est pas acceptable, non ce n'est pas rien, et si ça a un gros impact.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -9.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par Jehan (site web personnel, Mastodon) . Évalué à 10. Dernière modification le 27 mars 2022 à 22:56.
J'en parle aussi. Tu as lu mon commentaire en diagonal? C'est l'un des 3 points que je soulève comme impacts ("minimum" même je rajouterais) de telles actions.
Renversement de responsabilité sur les victimes. Un grand classique. "Si tu n'es pas fichu de prendre sur toi, c'est toi le problème!" J'aurais tout lu ce soir! 🙄
Un autre classique. "C'est pas un monde de bisounours" et autres insultes à la "snowflake" ou "hypersensible" ou autre. Franchement ça vous plairait tant que ça d'avoir que des brutes à la barre? De n'avoir qu'affaire à des gens qui en ont rien à foutre des autres et qui n'ont aucune conscience et sont durs comme de la pierre quand on les attaque?
Personnellement je revendique avoir le droit d'être sensible et de traiter les autres comme des humains, et de pouvoir moi aussi réagir en humain. Et non j'ai certainement pas envie de changer et de devenir comme tu le proposes.
Non parce qu'à force de demander, c'est bien ce qu'on aura. Soyons clair, c'est déjà ce qu'on a globalement dans les gouvernements, à la tête d'entreprises, et oui aussi dans pas mal de projets libres: des gens qui en ont rien à fiche d'autrui. Mais est-ce vraiment ce qu'on veut? (question rhétorique, je peux répondre au moins dans mon cas: non!)
T'as pas lu l'article en fait, c'est ça? Non parce qu'y a plein de trucs dedans et c'est loin d'être le seul truc dont il est question. En fait même lire juste le sommaire démontre que tu dis des trucs farfelus.
P.S.: bon j'arrête cette discussion là parce que ça me déprime rien que d'avoir à expliquer cette base des relations entre être humains. Et avoir besoin d'expliquer cela en dit long sur l'ampleur du problème.
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Re: Procès d'intention
Posté par Zenitram (site web personnel) . Évalué à 9. Dernière modification le 27 mars 2022 à 23:11.
Perso je trouve très bien une des gens pas Bisounours réagissent contre les gens qui pensent que si tu le vis comme une agression ils sont juste désolés. Car justement ce sont des personnes qui aident à permettre à tous de participer, et non pas réserver la choses aux plus "forts".
Les mecs de la communauté Linux qui ont envoyé chier une université, ce ne sont pas des Bisounours, au contraire, ils savent très bien qui le monde est pourri et ils savent très bien se défendre même contre "gros" (c'est américain, ça a de la thune, ce n'est pas le petit mec perdu d'un pays du tiers monde). Et ils le montrent, qu'on ne vienne pas leur faire perdre du temps comme ça.
Tiens, d'ailleurs les chercheurs n'ont jamais parlé de payer les personnes visées pour la perte de temps, étonnant… Pour les expériences en entreprises, d'une j'ai été prévenu (éthique et non juridique, pour l'autre point chaud… Car dans une autre boite je n'ai pas été prévenu), de deux ma hiérarchie savait où ça allait taper, de trois c'était sur mon temps de travail donc payé. Vraiment, la comparaison ne tient pas…
+1.
[^] # Re: Procès d'intention
Posté par Jehan (site web personnel, Mastodon) . Évalué à 10.
Ah mais les bisounours, dans mon souvenir, savaient tout à fait se défendre! 💪 Il me semble même que c'était l'un des concepts de la série justement, qu'ils réagissaient quand quelque chose d'injuste se passait. Mais oui, le reste du temps, ils étaient sympas avec autrui❣️
C'est d'ailleurs bien ce que gouttegd dit plus bas aussi. Quand ils croyaient avoir à faire à un développeur de bonne foi, les autres commentaient le code gentiment. Quand on lit l'email, on voit clairement que la personne a pris le temps d'ouvrir le code dans son éditeur et de l'étudier, donc ça a pris du temps (plus que de simplement corriger directement soi-même). C'est pas le genre d'email qu'on fait de tête.
Mais oui quand ils se sont rendus compte qu'ils étaient en train de se faire prendre pour des cobayes, ben ils ont réagi et l'ont très évidemment pris mal, ils ont aussi vu que c'était totalement inacceptable et l'ont fait savoir. Je serais absolument pas étonné que ça ait gâché émotionnellement leur journée. En gros, ils ont fait leurs "bisounours". Donc savoir rétorquer et se défendre fait aussi partie du rôle des bisounours. 😉
Bon voilà, cette fois, c'est vraiment mon dernier message sur le sujet, mais ça me faisait bien marrer de continuer l'échange sur les bisounours, ces grands incompris, des gens (enfin… des ours quoi) gentils, attentionnés, qui n'aiment pas les injustices, tout en étant forts! ❤️🔥😉
Film d'animation libre en CC by-sa/Art Libre, fait avec GIMP et autre logiciels libres: ZeMarmot [ http://film.zemarmot.net ]
[^] # Commentaire supprimé
Posté par Anonyme . Évalué à -6.
Ce commentaire a été supprimé par l’équipe de modération.
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 10. Dernière modification le 28 mars 2022 à 10:19.
Tu as peut-être raté le passage de la dépêche qui explique que, lorsque les auteurs ont finalement sollicité l’avis de leur comité d’éthique (à la demande du symposium S&P 2021), ils ne lui ont pas fourni une version suffisamment détaillé de leur protocole.
Alors, certes,
Mais quand même. Venir s’insurger du traitement réservé à ces pauvres malheureux auteurs qui ont juste fait une erreur, personnellement je trouve ça gonflé.
Surtout quand on voit que Kangjie Lu semble très bien capable de rebondir, vu qu’après cette affaire il a trouvé le moyen de co-présider un symposium international sur l’éthique en sécurité informatique ! Pardonne-moi de ne pas m’apitoyer sur son sort.
(Personnellement à choisir je m’apitoyerai plutôt sur Additya Pakki, dont on risque de se souvenir que ses patchs ont fait re-surfacer l’affaire en avril 2021 alors même qu’il n’avait rien à voir avec le projet “hypocrite commits”, et qu’en définitive son seul tort est surtout d’avoir choisi un directeur de thèse aux pratiques douteuses.)
Tu te rends comptes que tu fais valoir ce point sous ce qui est à ma connaissance le seul article de tout le web francophone à présenter le bidonnage (il y a une section entière consacrée à ça, au même niveau que les problèmes éthiques), et à accuser ouvertement les auteurs de fraude scientifique ?
[^] # Re: Procès d'intention
Posté par gouttegd . Évalué à 10.
C’est exactement ce que Dan Carpenter a tenté de faire suite à un des patchs de « George Acosta ».
Carpenter a correctement vu le problème introduit par le patch (or it lead to a use after free), et au lieu de simplement le rejeter d’office ou de l’ignorer, il a tenté d’expliquer à son auteur quel était le problème et lui a suggéré une meilleure façon de corriger le problème de départ.
Il pensait aider un contributeur honnête, alors qu’en recevant son message « George Acosta » n’a probablement eu pour seule réaction que « Ah merde, il a vu le problème l’enfoiré. »
[^] # Re: Procès d'intention
Posté par Romuald Delavergne . Évalué à 6.
Lorsque que les admins d'une entreprise réalisent une opération de phishing, la direction et bien évidemment les admins sont au courant. Et surtout la sécurité de l'entreprise n'est pas remise en cause.
Dans le cas présent, le gros problème est que des étudiants font une expérience sans prévenir les responsables du noyau. Auraient-ils fini par avertir la communauté pour éviter que les "patchs hypocrites" se retrouvent dans toutes les distributions ?
# Le bot Linus Torvald
Posté par ll0zz (Mastodon) . Évalué à 0.
Ça reste à prouver !
J'ai notamment des doutes sur Linus Torvald qui pourrait bien n'être qu'un bot.
D'ailleurs son côté autiste qu'il assume publiquement pourrait être une façon de masquer les difficultés qu'ont eu ses développeurs à réussir la partie relations sociales.
J'dis ça j'dis rien.
# Légalité
Posté par HL . Évalué à 8.
J'ai une question : s'il est établi qu'on a à dessein tenté d'intégrer des patchs malveillants à un logiciel (un papier pouvant être assimilé à un aveu), ça ne pourrait pas tomber sous le coup de la loi et donc faire l'objet de poursuites ?
(Je ne prends pas en compte la FAQ qui a été publiée a posteriori.)
[^] # Re: Légalité
Posté par gouttegd . Évalué à 4. Dernière modification le 28 mars 2022 à 15:00.
Précautions d’usage : I Am Not A Lwayer.
Je pense qu’il y a plusieurs questions à se poser pour tenter de répondre :
1) Qui aurait qualité à agir ?
Possiblement la Linux Foundation je suppose. Les développeurs du noyau à titre individuel, peut-être, encore que ça me semble moins probable.
J’ai de gros doutes sur le fait que les utilisateurs du noyau (qu’ils s’agissent d’utilisateurs individuels ou de sociétés qui d’une manière ou d’une autre utilisent le noyau dans le cadre de leurs affaires — par exemple, un hébergeur qui propose des serveurs sous Linux à ses clients) puissent être considérés comme des parties recevables. Mais ça dépend aussi de la question suivante.
2) Quelle législation s’applique ?
À première vue la loi américaine (la Linux Foundation est une association américaine, les deux chercheurs sont affiliés à une université américaine). Mais si la loi française considère que des utilisateurs de Linux auraient qualité à agir (aucune idée si c’est le cas ou pas), alors je suppose qu’une boîte française comme OVH par exemple pourrait peut-être porter l’affaire devant les tribunaux français.
Il me semble (/!\ IANAL IANAL IANAL /!) que la loi française (tout comme la loi américaine d’ailleurs) ne se soucie pas forcément de savoir si l’infraction a eu lieu sur le territoire national ou si les auteurs sont français — si une victime identifiée est française, c’est suffisant pour que la loi française soit applicable. (/!\ IANAL IANAL IANAL /!)
3) Quelle infraction peut-on reprocher, le cas échéant ?
Dans la loi américaine, aucune idée.
Dans la loi française, pas sûr. Ce n’est clairement pas, il me semble (IANAL alert !), du « piratage informatique » (« accès ou maintien frauduleux dans un système de traitement automatisé de données », article 323-1 du code pénal). Je ne pense pas non plus que ce soit de l’« introduction frauduleuse de données » (article 323-3). Ça pourrait relever de l’« entrave au fonctionnement d’un système de traitement automatisé de données » (article 323-2), je suppose.
Ça c’est pour le pénal. Au civil, je doute très fortement que la moindre action soit possible (j’ai déjà de gros doute pour une action pénale de toute façon), puisqu’il me semble que le demandeur devrait prouver que l’action des chercheurs lui a causé un dommage. Les patchs n’ayant en définitive pas été introduit dans une version publiée du noyau, je ne vois pas comment quiconque pourrait prétendre avoir subi un dommage. Les développeurs noyau pourraient à la limite prétendre à un préjudice moral, mais ça me paraît léger pour fonder une action en justice.
/!\ IANAL IANAL IANAL /!\
[^] # Re: Légalité
Posté par Zenitram (site web personnel) . Évalué à 3.
Le perte de temps de gestion des patchs volontairement pourris est un dommage. Faible, et légalement je doute que ça passe (ça tombe dans Epsilon), mais il ne faut pas dire de manière généralisée qu'il n'y a pas de dommage.
[^] # Re: Légalité
Posté par gouttegd . Évalué à 7.
Si vraiment une action devait être tentée je pense que les développeurs noyau auraient un chouia plus de chance un avançant un préjudice moral (en gros ce que décrit Jehan dans son troisième point ici) plutôt que la perte de temps, même si je suis tout-à-fait d’accord que celle-ci est réelle.
Sur la perte de temps, on pourrait rétorquer que de toute façon étudier des patchs fait partie du travail des mainteneurs, et que le fait que les patchs aient été soumis de mauvaise foi n’y change rien — si les patchs avaient été soumis de bonne foi, les mainteneurs auraient passé autant de temps dessus. (Je ne dis pas que je suis d’accord avec ça, mais je pense que c’est une défense qui se tiendrait.)
Par contre, la déception, le sentiment de trahison, l’agression psychologique dont parle Jehan, ça c’est bien directement une conséquence du caractère hypocrite de ces patchs.
# Super article !
Posté par Nanawel (site web personnel, Mastodon) . Évalué à 7.
Ça faisait longtemps qu'on avait pas eu d'analyse aussi complète et poussée sur un sujet sur DLFP :)
Merci aux rédacteurs !
Typos à corriger au passage parce que c'est dommage sur un si bel article :
=> exprès (et idem pour expresse (féminin) un peu plus loin)
[^] # Re: Super article !
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à 4.
Corrigé, merci.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Super article !
Posté par Quidam . Évalué à 4.
Une autre correction s'il vous plaît :
=> censée
Je remercie aussi les rédacteurs, ainsi que les commentateurs et les modérateurs !
[^] # Re: Super article !
Posté par tisaac (Mastodon) . Évalué à -10.
Et pas les rédactrices, ni les commentatrices (ça existe ça comme mots ?), ni les modératrices ?
La prochaine fois, tu pourras écrire un truc du genre
Surtout, ne pas tout prendre au sérieux !
[^] # Re: Super article !
Posté par gouttegd . Évalué à 10. Dernière modification le 28 mars 2022 à 20:28.
Je trouve ça un peu gonflé de reprocher ça à un commentateur alors qu’on ne l’a jamais reproché au principal auteur de la dépêche, qui tout au long de celle-ci n’a jamais parlé que de développeurs et de mainteneurs.
Il y a clairement des développeuses parmi les développeurs du noyau. J’ai utilisé le masculin comme neutre pour désigner aussi bien développeurs que développeuses, ce qui n’a semblé poser de problème à personne pendant les mois pendant lesquelles cette dépêche est restée dans l’espace de rédaction.
Pourquoi le masculin comme neutre serait acceptable dans le corps de la dépêche mais pas dans les commentaires ?
[^] # Re: Super article !
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à -6. Dernière modification le 28 mars 2022 à 20:35.
Alors ici et là j'ai mis "développeurs et développeuses", mais pas partout pour ne pas alourdir.
Et Tisaac a raison. Parce que là je ne me sens pas concernée si on ne parle que de modérateurs.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Super article !
Posté par gouttegd . Évalué à 10.
Je n’avais pas fait attention, et franchement ça ne me plaît guère.
Pourquoi ?
Parce que tant que seule la forme masculine est présente, il est plausible qu’elle a été employée en tant que forme neutre.
On n’en sait rien, certes (personne n’est dans l’esprit du rédacteur pour le savoir), mais c’est plausible.
Par contre, dès l’instant où la forme combinée masculine et féminine est présente, même une seule fois, on ne peut plus raisonnablement prétendre que la forme masculine représente le neutre. Si l’auteur pensait que le masculin est neutre, il n’emploierait jamais la forme combinée masculin+féminin qui serait redondante, donc il faut en conclure que l’auteur pense que le masculin ne représente que… le masculin.
Autrement dit, partout où seule la forme « développeurs » apparaît seule, on ne peut plus que comprendre que j’ai voulu désigner les seuls développeurs hommmes.
Ce n’était pas mon intention, et je ne vous remercie pas.
Je n’ai rien contre l’écriture inclusive, sous quelque forme que ce soit, mais à condition d’être cohérent.
[^] # Re: Super article !
Posté par Gabbro . Évalué à 3.
Je viens de compter, et le « ici et là » représente… une occurrence. développeur apparait une trentaine de fois, et développeuse une seule fois dans la dépêche.
[^] # Re: Super article !
Posté par gouttegd . Évalué à 10.
Pas étonnant que je ne l’ai pas remarqué du coup, je suppose (en aparté : l’interface de l’espace de rédaction est juste horrible quand il s’agit de voir quels changements ont été faits).
Il n’empêche :
Je n’ai rien contre la seconde position, mais il faut choisir entre l’une ou l’autre, je ne vois pas comment elles pourraient être compatibles. On ne peut pas dans un paragraphe parler de « développeurs » en voulant désigner tout le monde (le masculin est neutre, OK ?), dans le paragraphe suivant parler de « développeurs et développeuses » (le masculin désigne les hommes exclusivement, OK ? N’invibilisez pas les femmes !), puis dans le paragraphe d’après reparler seulement de « développeurs » (bon, là j’ai eu la flemme de répéter « et développeuses » et puis de toute façon c’était trop lourd, mais promis ça désigne bien tout le monde).
(À la limite, utiliser « développeurs et développeuses » lors de la première occurence pour bien signifier qu’on veut n’oublier personne, puis ensuite en rester au masculin neutre par souci de « légèreté ». Mais du coup ça ressemblerait plus à du virtue signalling qu’à un vrai souci d’être inclusif, à mon avis.)
’fin bref. Ce que j’aurais apprécié ici, si Ysabeau ou qui que ce soit d’autre avait un problème avec l’emploi exclusif du masculin dans la dépêche (« développeurs » mais aussi « étudiants », « organisateurs », « contributeurs », et probablement quelques autres), c’est qu’on me le dise pendant que la dépêche était encore en rédaction, parce que j’aurais été parfaitement disposé à opter pour une autre forme (par exemple, j’aurais volontiers proposé une forme au féminin neutre, avec l’accord des autres rédactrices).
[^] # Re: Super article !
Posté par Ysabeau 🧶 (site web personnel, Mastodon) . Évalué à -9. Dernière modification le 29 mars 2022 à 12:48.
J'ai fait ces corrections avant que tu ne soumettes la dépêche et c'était dans l'historique ! C'est même aussi en partie pour ça que j'interviens assez souvent dans les dépêches en rédaction. Pour que les auteurs et autrices puissent voir ce que je fais.
Donc voilà.
Mais par principe, les dépêches ne devraient pas être essentiellement au masculin, car le masculin n'est pas une forme du neutre.
« Tak ne veut pas quʼon pense à lui, il veut quʼon pense », Terry Pratchett, Déraillé.
[^] # Re: Super article !
Posté par gouttegd . Évalué à 10. Dernière modification le 29 mars 2022 à 14:19.
Oui, j’avais bien compris.
Sauf que je suis désolé (d’autant plus que tu n’es, je suppose, pas responsable de ça, c’est le site qui est mal fichu), mais en pratique sur une dépêche longue l’historique est impraticable pour revoir des petits changements.
Si le site était bien fichu, quand on demande l’affichage d’une révision il n’afficherait que le paragraphe qui a été modifié, avec éventuellement une ou deux lignes de contexte avant et après (comme un
diff
classique). Sauf que non : il affiche tout le texte de la dépêche, et surligne simplement en rouge ce qui a été changé. Charge au rédacteur ou à la rédactrice de parcourir tout le texte à la recherche des passages surlignés en rouge.Excuse-moi de ne pas perdre mon temps à faire ça chaque fois que je vois que quelqu’un a édité la dépêche. Je le faisais au début, mais après avoir passé plusieurs minutes à chercher « mais il est où le passage édité bon sang ?! », tout ça pour découvrir au bout du compte que l’édition était simplement le remplacement d’une espace fine par une espace insécable à la ligne 1739, j’ai décidé que j’avais mieux à faire. Je pars désormais du principe que toutes les éditions sont mineures, faute pour l’éditeur ou l’éditrice de signaler explicitement le contraire.
Tu aurais laissé un simple message du genre « j’ai rajouté “et développeuses” par endroit, l’usage du masculin comme neutre n’est pas acceptable sur LinuxFr.org, merci de faire attention », j’aurais fait le nécessaire pour adapter la dépêche en conséquence et m’assurer qu’aucun masculin neutre ne subsiste. Crois-le ou non, je l’aurais fait avec plaisir, parce que fondamentalement ma position sur l’écriture inclusive pourrait se résumer à « à Rome, fais comme les Romains » : je n’utilise pas spontanément l’écriture inclusive mais je n’ai aucune objection à le faire si j’interviens sur un site où elle en vigueur ou semble être attendue. Encore faut-il que je sache que je sois à Rome, cf. ci-dessous.
Donc voilà. On a une dépêche incohérente, qui si je n’en étais pas le principal auteur me donnerait l’impression d’avoir été écrite par ce que j’appelle un féministe de pacotille, le genre à parler presque toujours au masculin mais à quand même balancer un féminin par-ci par-là comme pour bien dire « vous avez vu ? dans le neuvième paragraphe j’ai pensé à l’existence des femmes, j’suis un gars bien hein ? je peux avoir ma médaille d’Allié Féministe™ SVP ? ». Vraiment, je ne te remercie pas.
Comme déjà signalé, je n’ai pas de problèmes avec cette position.
Mais est-ce la position d’Ysabeau ou la position de LinuxFR.org ?
Parce que si c’est la position de LinuxFR.org, la moindre des choses serait qu’elle soit exposée quelque part. Je n’en ai jamais vu nulle trace sur les pages d’aide du site. Partout il n’est jamais question que d’auteur, de modérateur, de mainteneur.
Alors certes, j’ai déjà vu plusieurs de tes messages où tu interviens comme modératrice et j’ai bien remarqué que, comme le dis tisaac, tu es sensible à cette question. Mais en l’absence de politique explicite (du moins visible !) à l’échelle du site et après des mois dans l’espace de rédaction sous aucune réaction (visible ! une addition en douce de deux mots dans une dépêche de cette taille n’est pas visible, désolé) ni de ta part ni de que qui ce soit d’autre, j’ai supposé que je n’étais pas à Rome et que personne n’attendait de moi que je me comporte en Romain.
Je veux bien en accepter une part de responsabilité (oui, j’aurais du étudier minutieusement chaque édition pour vérifier si, par hasard, l’une d’elles aurait pu me laisser comprendre que ah tiens, on est en territoire inclusif ici), mais LinuxFR.org a aussi la sienne.
En l’état, tout indique que LinuxFr.org n’a pas de politique cohérente sur la question, et que c’est au petit bonheur la chance en fonction de l’humeur du modérateur ou de la modératrice (selon que le modérateur vient de finir de lire un bouquin sur le féminisme par exemple…). Ça ne me semble pas tenable, désolé.
[^] # Re: Super article !
Posté par antistress (site web personnel) . Évalué à 4.
J'essaye également de me deshabituer de la culture du masculin comme neutre mais pas avec une réussite à 100%, je suis sans doute à classer dans féministe de pacotille du coup. Je ne crois pas qu'il y ait une position officielle sur le site et ma perception est que ce n'est pas l'esprit du site que d'imposer trop de choses. C'est peut-être plutôt un peu un mélange de l'esprit des projets libres ("celui qui fait décide") et d'un organisme vivant qui évoluerait à son rythme à coup de débats des utilisateurs mais sans forcer une direction (c'est une appréciation purement subjective je n'ai aucune information sur cette question)
[^] # Re: Super article !
Posté par Benoît Sibaud (site web personnel) . Évalué à 6.
Des changements pour une écriture épicène
https://github.com/linuxfrorg/linuxfr.org/commit/0cb70b28068c790327f7ace5b80e041b7ca929b8
https://github.com/linuxfrorg/linuxfr.org/commit/960923dbc659ec6e15b07af48aec30cd8a0935b9 (un constat des changements faits)
Ou les comptes-rendus :
https://linuxfr.org/news/association-linuxfr-et-site-linuxfr-org-en-2020-2021-2022
https://linuxfr.org/news/association-linuxfr-et-site-linuxfr-org-en-2019-2020-2021
https://linuxfr.org/news/association-linuxfr-et-site-linuxfr-org-en-2018-2019
Exemple https://linuxfr.org/team
Au passage : Scilabus sur l'écriture inclusive/épicène pour des études scientifiques sur le sujet https://youtu.be/url1TFdHlSI (liens sous ma vidéo)
[^] # Re: Super article !
Posté par Jérôme FIX (site web personnel) . Évalué à 2.
Vous devriez dans ce cas aussi corriger l'adresse mail "moderateurs_@_linuxfr.org" !
[^] # Re: Super article !
Posté par Jérôme FIX (site web personnel) . Évalué à 5. Dernière modification le 30 mars 2022 à 10:30.
et il n'y a aucune donatrice ?
C'est ce qu'évoquait goutted plus tôt, soit c'est partout, soit nulle part soit c'est réellement faire une distinction entre les sexes.
[^] # Re: Super article !
Posté par Tit . Évalué à 6.
première phrase : "grâce aux personnes de la modération"… ça me semble hyper lourd/maladroit.
[^] # Re: Super article !
Posté par antistress (site web personnel) . Évalué à 4.
Super vidéo, merci Benoît
[^] # Re: Super article !
Posté par tisaac (Mastodon) . Évalué à -2. Dernière modification le 28 mars 2022 à 23:19.
Bon, je n'ai pas mis les smiley au bon endroit et toussa mais l'intention n'est pas de reprocher mais seulement d'attirer l'attention de l'auteur du post que sa formulation n'est pas idéale dans une approche inclusive.
Toutes mes excuses gouttegd, c'est vrai, j'aurais pu aussi te faire la remarque et je comprends que tu prennes cela pour un manque de considération envers ta personne. Mais ce n'est vraiment pas cela, il y juste que
Donc vraiment, ne le prend pas personnellement ;-)
Surtout, ne pas tout prendre au sérieux !
[^] # Re: Super article !
Posté par Benoît Sibaud (site web personnel) . Évalué à 3.
Corrigé, merci.
# Les pauvres gamins
Posté par Shunesburg69 . Évalué à -4. Dernière modification le 30 mars 2022 à 12:34.
C'est vrais que c'est mal se qu'ils ont fait et qu'ils sont allés un peu fort, mais au final ils voulaient juste réussir leur thèse avec un sujet qui claque. En plus de ça, ils ont révélé à leur dépends qu'au final la vérification était plutôt bonne et digne d'éloge (même si au départ ils essayaient de prouver le contraire). Ils ont été de mauvaise foi et se sont mal comporté, mais la plupart des jeunes qui font leur étude font souvent la même chose, essayer d'épater la galerie et jouer au plus malin pour se mettre en avant. Aux finals, ce ne sont que de pauvre gamins (à l'université on a entre 18-21 ans tout au plus) qui ont été pris en train de faire une bêtise (même si elle a eu de grande et grave répercussion). C'est triste qu'ils se soit tiré une balle dans le pied comme ça.
[^] # Re: Les pauvres gamins
Posté par antistress (site web personnel) . Évalué à 6. Dernière modification le 30 mars 2022 à 12:55.
Ils cherchaient la célébrité, ils l'ont trouvée… peut-être pas celle attendue. Le Diable nous guette, toujours prêt à nous donner des leçons.
Moi-même j'ai maintes fois succombé à la recherche de satisfaction de mon égo et continue.
Pour sortir par le haut, ils devraient rédiger un (si possible sincère) "Lessons learned"
[^] # Re: Les pauvres gamins
Posté par Shunesburg69 . Évalué à 2.
Comme le proverbe dit : "L'enfer est pavé de bonne intention"
Mais mon message plus haut est un peu sur le ton ironique, car ils ont quand même un peu cherché les problèmes.
[^] # Re: Les pauvres gamins
Posté par gouttegd . Évalué à 10. Dernière modification le 30 mars 2022 à 13:43.
« Les pauvres gamins ? » Pardon ???
Kangjie Lu est un Assistant Professor (en gros et même si c’est difficilement comparable étant donné la différence entre les systèmes US et français, l’équivalent d’un « chargé de recherche 1er niveau » ou d’un « maître de conférence » fraîchement recruté en France), ce n’est ni un gamin ni un étudiant.
Certes il n’a pas de tenure et il est donc sous la pression du publish or perish, mais c’est le lot de quasiment toutes les personnes qui font de la recherche. Lui trouver des excuses est une insulte aux milliers de chercheurs et chercheuses qui, sous le coup de la même pression, s’efforcent pour autant de faire de la recherche de qualité en restant intègres.
Quant à Qiushi Wu, il est doctorant, il n’a certainement pas « 18-21 ans tout au plus ». Il a commencé son doctorat en 2018, donc il doit plutôt être à 24-25, minimum. C’est certes jeune, mais encore une fois, des milliers de doctorants et doctorantes du même âge font leur thèse sans se livrer au bidonnage.
La vraie question ici, c’est qui de Qiushi Wu ou de Kangjie Lu est à l’origine de la fraude. Des doctorants ou doctorantes qui bidonnent leurs résultats de leur propre chef, ça arrive, mais des directeurs ou directrices de thèse qui encouragent les personnes sous leur supervision à bidonner, ça arrive aussi… Dans quel cas de figure est-on ici, on n’en sait rien.
(Et on n’en saura probablement jamais rien : la fraude a été complètement passée sous silence, le papier a déjà été rétracté, donc il n’y ara probablement jamais d’enquête par l’Office of Research Integrity, donc on ne saura jamais ce qui s’est passé exactement.)
[^] # Re: Les pauvres gamins
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
À moins qu'il ne soit avéré que la direction de thèse ait été dupée, elle est tout autant coupable… Sauf si tu demandais qui a initié et qui a été complice ?
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Les pauvres gamins
Posté par gouttegd . Évalué à 8. Dernière modification le 30 mars 2022 à 17:50.
Ben justement, il est possible que Kangjie Lu (le directeur de thèse) ait été dupé par son étudiant…
On n’attend pas des directeurs et directrices de thèse qu’ils soient en permanence derrière leurs étudiants ou étudiantes. Au contraire, une certaine autonomie est attendue.
On peut imaginer que Kangjie Lu et Qiushi Wu ont conçu et planifié l’expérience ensemble, mais qu’ensuite Kangjie Lu a laissé son étudiant se charger de la réalisation. En constatant l’échec, Qiushi Wu aurait alors pu mentir à son directeur de thèse (« oui oui, réussite totale, prof : tous les patchs ont été acceptés, ils n’y ont vu que du feu ! »).
Si c’est ce qui s’est passé (je rappelle que c’est de la pure spéculation : on ne sait pas ce qui s’est passé exactement, à part qu’il y a eu fraude), alors on peut éventuellement reprocher à Kangjie Lu un défaut de supervision (débatable, parce qu’il ne me paraît pas forcément très raisonnable d’attendre d’un directeur ou directrice de thèse qu’il supervise son étudiant ou son étudiante de suffisamment près pour éviter toute fraude — où s’arrête la supervision et où commence la surveillance ?). Légalement il serait probablement toujours responsable (c’est son étudiant, sa responsabilité), mais au moins moralement la faute incomberait à Qiushi Wu.
Je peux aussi imaginer un scénario où la fraude serait le fait de Qiushi Wu, et où Kangjie Lu après s’en être rendu compte (possiblement « grâce » aux remous causés par l’Affaire) aurait décidé de régler le problème entre quatre z’yeux, genre « t’as de la chance, tout le monde s’est tellement focalisé sur cette histoire d’éthique que tes petits arrangements avec la réalité des conclusions de l’expérience sont passés inaperçus ; on a rétracté le papier donc il n’y a pas de raison que ça aille plus loin, ça restera entre nous — mais si tu me refais un coup pareil tu peux faire une croix sur ta thèse, capisce ? »
[^] # Re: Les pauvres gamins
Posté par Gil Cot ✔ (site web personnel, Mastodon) . Évalué à 4.
Tout à fait ; c'est un peu le cas de duperie que j'avais en tête sans le formuler. Mais comme tu le soulignes, supervision n'est pas surveillance et on attend une certaine autonomie voire une autonomie certaine.
“It is seldom that liberty of any kind is lost all at once.” ― David Hume
[^] # Re: Les pauvres gamins
Posté par Shunesburg69 . Évalué à 3.
Je ne cherche pas à les défendre, j'étais sur un ton un peu ironique pour dire qu'ils commencent bien dans la vie.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.