Après plusieurs journaux récents concernant des histoires de mauvaises pratiques de code dans des logiciels de sécurité (goto fail pour Apple et goto cleanup pour GnuTLS, divers patchs monolignes erronés), nous avons maintenant une histoire où de mauvaises pratiques de code dans de l'embarqué ont entraîné un accident grave.

Toyota a mis en vente en 2005 sur le marché son modèle Camry, dont le moteur est contrôlé par de l'électronique et du logiciel. Par exemple la pression sur la pédale de frein est détectée par un capteur que le système doit analyser pour commander le freinage.

Un jour lors d'un freinage périlleux le freinage électronique a échoué à freiner efficacement, entraînant un accident qui a coûté la vie à la conductrice et blessé gravement son amie.

Dans un procès fait à Toyota, deux experts en embarqué ont donné leur avis sur le code source que Toyota avait utilisé dans sa voiture. C'était du code très sale, comme vous pouvez le voir dans la suite de cette dépêche.

NdM : merci à Zarmakuizz pour son journal.

Plusieurs journaux récents dénonçaient de mauvaises pratiques de code, en tapant à tort ou à raison sur l'utilisation du goto en C. Voir par exemple ce journal sur une faille chez Apple ou celui sur un patch de GnuTLS.

Voici maintenant une affaire où les freins d'une Toyota ont refusé de fonctionner à cause d'un code spaghetti.

L'article en anglais est très long, ça date du 13 novembre 2013, je vais tenter un résumé :

Jean Bookout et Barbara Schwarz avaient une Toyota Camry de 2005. Le système de freinage est contrôlé par l'électronique du système. Mais voilà qu'un jour Jean Bookout perd le contrôle de sa voiture, la pédale de frein n'a aucun effet sur la vitesse de la voiture. Qu'à cela ne tienne, elle utilise donc le frein à main, ce qui fait une grosse marque de dérapage sur la route mais la vitesse du véhicule ne diminue pas, eeeeeeeet c'est le crash. Barbara Schwarz meurt des blessures, Jean Bookout se retrouve à l'hôpital pendant 5 mois.

Suite logique, procès à Toyota. Bon, on est aux États-Unis, on ne sait pas si c'est uniquement sur les raisons techniques évoquées plus loin ou aussi par patriotisme que les jurés ont déclaré Toyota coupable dans l'affaire, mais passons ce détail pour nous concentrer sur la suite.

Deux experts ont été désignés par l'accusation pour analyser le code source de Toyota et juger par eux-mêmes d'où pouvait provenir la défaillance. Michael Barr est resté 20 mois dans une salle semblable à une chambre d'hôtel, avec des gardes pour s'assurer qu'aucun document ne rentre ou ne sorte de sa salle pendant tout le temps de son analyse. Phillip Koopman est plutôt à l'aise dans le domaine de l'embarqué.

On peut résumer le reste de l'article en « c'est un gros code spaghetti impossible à maintenir, impossible à prédire, impossible à tester, des corruptions de mémoire arrivent trop facilement, etc. » Mais il y a quand même quelques perles :

There are a large number of functions that are overly complex. By the standard industry metrics some of them are untestable, meaning that it is so complicated a recipe that there is no way to develop a reliable test suite or test methodology to test all the possible things that can happen in it. Some of them are even so complex that they are what is called unmaintainable, which means that if you go in to fix a bug or to make a change, you’re likely to create a new bug in the process. Just because your car has the latest version of the firmware — that is what we call embedded software — doesn’t mean it is safer necessarily than the older one….And that conclusion is that the failsafes are inadequate. The failsafes that they have contain defects or gaps. But on the whole, the safety architecture is a house of cards. It is possible for a large percentage of the failsafes to be disabled at the same time that the throttle control is lost.

Even a Toyota programmer described the engine control application as “spaghetti-like” in an October 2007 document Barr read into his testimony.