Royaume-Uni : au moins 13 suicides et plus de 1 000 poursuites injustifiées à cause d’une erreur du système informatique de la Poste

J’avais déjà écrit plus en détail sur le début de l’affaire :

Le point de départ de l’affaire remonte à 1999, lorsque le gouvernement britannique a décidé de ne pas abandonner un système de versement des pensions et allocations que la Poste avait écarté en raison de doutes sur sa fiabilité, et de l’utiliser pour moderniser le système existant de la Poste, qui enregistrait encore les transactions sur papier.

Ce terminal de point de vente électronique (electronic point-of-sale system), appelé Horizon, a connu de nombreux problèmes dès le départ. Des écarts ont été constatés entre les montants en espèces enregistrés dans Horizon et les liquidités réellement détenues, et les responsables de bureaux de poste, désemparés, auraient commencé à appeler le centre d’assistance Horizon.

L’erreur « Dalmellington » figeait l’écran lorsqu’un utilisateur essayait de confirmer la réception d’espèces ; dans cette situation, chaque pression sur Entrée enregistrait la réception d’espèces sans aucune indication à l’écran.

L’erreur « Calendar Square » provoquait des transactions en double en raison d’un dysfonctionnement de la base de données sous-jacente du système...

Quelle en était la cause ? Il y en avait sans doute plusieurs, mais trois ressortent : 1) le manque de personnel, 2) une confiance aveugle dans l’infaillibilité du logiciel, 3) la bureaucratie.

1. Manque de personnel

Selon David McDonnell, qui a participé au développement, « L’équipe de développement comptait huit personnes : deux étaient très compétentes, deux étaient moyennes mais avec lesquelles on pouvait travailler, et les trois ou quatre restantes n’avaient pas la capacité de produire du code de niveau professionnel, si bien qu’elles n’étaient pas en mesure de faire correctement le travail. »

https://x.com/KayKiwoongKim/status/1825209040575873330

Commentaires sur Hacker News

• Partage d’un lien d’archive de l’article

• En creusant ce scandale il y a environ un an, j’ai réalisé que la dimension de « classe sociale » était frappante
  La direction de la Post Office ne comprenait pas pourquoi quelqu’un achèterait une franchise PO
  Elle ne saisissait pas l’idée de dépenser beaucoup d’argent pour acheter un seul point de vente, et en même temps acheter un métier qui exige un investissement de temps considérable
  À cause de cela, elle a cherché la « vraie » raison, et a fini par se convaincre que tout le monde achetait une franchise pour voler de l’argent
  Le logiciel de comptabilité a donc fini par avoir pour objectif de détecter et punir la fraude
  Une fois que le logiciel a commencé à calculer des fonds manquants, les questions soulevant des problèmes ont aussi été ignorées
  Comme la direction considérait dès le départ les gérants comme des voleurs, je pense que si le logiciel n’avait presque détecté aucune fraude, c’est le logiciel lui-même qu’elle aurait trouvé suspect

  • Dans un précédent commentaire HN, ce phénomène avait été présenté comme un exemple de la façon dont la « confiance dans le logiciel » peut ruiner des vies, mais ton explication me paraît plus humaine et redéfinit mieux le contexte
    Ce n’est pas le logiciel qui a causé cela, mais le mépris envers les classes populaires, et il y a 100 ans cela se serait probablement produit par des moyens comparables à ceux d’une équipe d’enquête interne
    J’ai grandi entre le Royaume-Uni et les États-Unis, et j’ai l’impression que la culture britannique est plus sensible à la perspective de classe
    Les États-Unis préfèrent se raconter qu’un tel mépris de classe n’existe pas chez eux

  • Donc la PO a créé un programme de franchise, puis a décidé plus tard qu’il ne convenait pas à des « acteurs raisonnables et de bonne foi », et au lieu de modifier les conditions contractuelles, elle a traité les participants comme des criminels puis les a poursuivis ?

  • Je trouve intéressant que la fraude commise par des personnes des classes populaires soit perçue comme un problème grave qui doit absolument être puni sévèrement, alors que celle des classes supérieures est généralement protégée par le bouclier de la personnalité morale

  • À mon avis, c’est un aspect que les médias et la culture populaire (Mr Bates Vs The Post Office, etc.) n’ont pas suffisamment souligné jusqu’ici
    Vu de l’extérieur (surtout depuis les États-Unis), on voit mal à quel point le Royaume-Uni est une société obsédée par les classes sociales
    C’est une observation qui renforce fortement la crédibilité de ta théorie

  • Je trouve ton commentaire perspicace, et j’aimerais ajouter une chose
    Je ne suis pas certain qu’on puisse vraiment dire clairement que la direction était simplement ignorante, et certains éléments donnent plutôt l’impression d’une réelle malveillance
    Il y a clairement eu des cas où des gens ont agi délibérément pour éviter d’avoir à rendre des comptes

• Cette affaire m’a profondément déprimé
  Il y a eu des défaillances à tellement d’étapes

  1. Des signalements ont eu lieu juste après le déploiement de Horizon, mais ils ont été ignorés
  2. Les procureurs n’ont pas cherché à vérifier des preuves supplémentaires ou d’autres explications avant d’inculper des milliers de personnes pour « vol »
     Personne ne s’est demandé : « Est-il vraiment plausible que tout le monde soit soudainement devenu voleur ? »
  3. Un journal local a publié une photo d’une femme enceinte avec le titre « voleuse enceinte » — un papier sensationnaliste pour générer des clics
  4. La Post Office s’est justifiée en disant : « il y a trop de gens, nous n’avons pas les moyens de les indemniser »
     Elle avait les ressources pour faire condamner à tort des milliers de personnes et ruiner leur vie, mais pas pour réparer ses erreurs
     Cette affaire a été laissée pourrir pendant plus de dix ans
     Le citoyen ordinaire doit payer ses impôts à temps, et s’il ne renouvelle pas son permis il risque une amende ou la prison, mais l’État est resté les bras croisés pendant dix ans
     Où est la responsabilité de Fujitsu ? Je ne comprends pas pourquoi le gouvernement ne peut pas demander à Fujitsu de payer des réparations pour les dégâts causés par un logiciel destructeur et médiocre
     C’est une réalité complètement folle

  • Je recommande aussi de lire cette controverse et ce post HN associé
    Ce n’est pas encore très connu, mais je pense que cela deviendra un sujet beaucoup plus important dans les dix prochaines années
    Ce n’est pas un problème limité à un seul pays, et il vaut mieux le considérer comme un phénomène qui s’étend dans le monde entier depuis plusieurs décennies

  • Si Fujitsu ne peut pas être tenue responsable, ce n’est pas parce que le logiciel lui-même est le vrai problème
    Bien sûr, le logiciel était mauvais, mais le cœur du scandale, c’est la conduite de la direction de la Post Office
    Elle a ignoré des rapports d’audit interne qui relevaient correctement les problèmes, et a menti aux gérants en leur disant en substance que « personne d’autre n’a de problème »
    Fujitsu a aussi été irresponsable en mentant et en dissimulant des choses, mais ce qui a provoqué cette catastrophe, c’est le leadership de la Post Office
    Dans le monde, il existe déjà énormément de logiciels défectueux et d’accidents ; ce qui compte bien plus que les défauts eux-mêmes, c’est l’attitude de résistance face aux problèmes et la manière d’y répondre

  • Je suis tout à fait d’accord
    Quand je travaillais comme architecte technique au HM Treasury, j’ai vu de mes propres yeux à quel point les marchés publics étaient corrompus de manière extrême
    J’ai directement été témoin de nombreux drames — suicides, erreurs judiciaires, pertes d’argent public — au DVLA, au DEFRA, au DWP, au Home Office, au MOJ et au Scottish Government
    Au final, c’est toujours le gouvernement qui doit approuver le système, et il y a toujours un responsable désigné
    En général, toutes les parties prenantes (client, fournisseur) se retrouvent soudées par une motivation très sensible : protéger cette personne responsable
    Au bout du compte, cela sert à préserver les profits et la réputation, à produire de belles histoires dans les médias, puis ces responsables sont « promus » chez les fournisseurs
    Je l’ai vu se répéter tellement de fois que cela en devient lassant
    Le secteur public britannique est un système entièrement pourri

  • Encore plus grave, Fujitsu a menti en affirmant qu’elle ne pouvait pas modifier les données à distance
    Elle a utilisé l’information technique pour rendre les preuves opaques aux accusés et aux juges

  • Je recommande de suivre ce que publient Private Eye et Computer Weekly
    Ce sont eux qui suivent l’affaire avec sérieux et profondeur
    Au Royaume-Uni, une fois qu’une culpabilité est établie, il est culturellement admis, sur le plan juridique, d’utiliser le nom de l’infraction concernée
    Dans cette affaire, la Post Office disposait de pouvoirs juridiques spécifiques, et a préféré continuer à étouffer l’affaire plutôt que d’admettre ses erreurs, au nom de la protection de son image de marque
    Les tribunaux et les procureurs avaient eux aussi un défaut structurel dans leur manière de traiter les preuves logicielles
    Fait étrange, dans les tribunaux britanniques, il n’était toujours pas recevable comme défense légale d’affirmer qu’un enregistrement informatique était erroné
    En droit, le postulat de départ était qu’un système informatique ne pouvait pas se tromper
    Si vos preuves contredisaient les traces du système, c’est l’accusé qui passait pour un menteur
    C’est une structure qui a détruit la vie de beaucoup de gens
    Tout le monde a aussi fini par comprendre que blâmer seulement quelques individus ne résoudrait rien dans cette affaire
    Comme pour un accident aérien, ce genre de catastrophe survient souvent lorsque plusieurs erreurs complexes et des défaillances systémiques s’emboîtent en même temps
    Même les employés de Fujitsu ne sont probablement pas fiers d’appartenir à cette entreprise aujourd’hui, et malgré cela elle continue encore à obtenir de nouveaux contrats alors que les victimes n’ont toujours pas été correctement indemnisées

• En pratique, cela ne diffère guère d’une « mort par torture »
  Dans les cours d’éthique informatique, on cite toujours des accidents médicaux comme Therac 25, et les étudiants se rassurent en se disant que tant qu’ils ne travaillent pas sur des équipements médicaux, ils ne risquent rien
  Tout le monde devrait comprendre qu’un logiciel non médical peut lui aussi nuire gravement à autrui

  • C’est pour cela que l’expression « mort par suicide » peut poser problème
    Ces personnes ont été poussées à une situation extrême par plusieurs facteurs, et n’avaient plus réellement de choix

  • Je développe actuellement des logiciels pour des satellites de suivi de missiles
    Si je fais une erreur, je ne « tue » peut-être pas directement quelqu’un, mais j’en porterai quand même la responsabilité dans le cas où des personnes meurent en conséquence
    Dans mon précédent emploi, j’ai aussi travaillé sur des avions de combat et des missiles, et oui, des gens sont effectivement morts à cause de ce sur quoi je travaillais

  • J’ai pensé à l’accident Therac 25 dès que j’ai lu cet article
    Même sans fonctionnalité qui commande directement du matériel de manière erronée, on retrouve le même résultat : des milliers de victimes

  • J’aimerais vraiment, vraiment que tous les diplômés en informatique soient obligés de suivre un vrai cours d’éthique ayant une portée concrète

• Je pense que l’échec des tribunaux est presque aussi grave que celui de Fujitsu
  Comment a-t-on pu accepter aveuglément les sorties de Horizon comme preuves ?
  Si l’ordinateur avait dit « la reine a volé tout l’argent et s’est enfuie à la Barbade », l’aurait-on vraiment envoyée en prison ?
  Il aurait très bien pu ne s’agir que d’un ordinateur portable dans lequel Fujitsu tapait ce qu’elle voulait, alors pourquoi traiter ces sorties comme une bible ?

  • La vérité derrière cette réponse est effrayante
    Dans les tribunaux britanniques, il fallait effectivement présumer qu’un ordinateur fonctionnait correctement
    Il fallait produire des preuves contraires, mais les gérants ordinaires n’avaient pas accès au code source et n’étaient généralement pas des experts informatiques (et le code était protégé comme secret commercial)
    Cette pratique pourrait évoluer à l’avenir ; pour plus de détails, voir la documentation officielle du gouvernement britannique et cet article juridique associé

  • Une raison tient au fait que la Post Office disposait d’un statut juridique lui permettant de poursuivre directement, sans passer comme la police par le Crown Prosecution Service
    Beaucoup de gens ont plaidé coupable sous la pression de l’idée que « l’ordinateur a toujours raison », afin de limiter les frais d’un combat judiciaire
    En pratique, même avec très peu de substance réelle, elle a utilisé sa position juridique pour écraser les gens

• La mini-série en quatre épisodes Mr Bates vs The Post Office vaut vraiment le détour
  À cause de Horizon, un système informatique défectueux conçu par Fujitsu, de nombreux gérants ont été poursuivis pour vol, fraude et fausse comptabilité, et Alan Bates a créé la Justice for Subpostmasters Alliance pour organiser une protestation collective
  Le jugement final du tribunal (2019) a conclu à une erreur judiciaire
  Wikipedia: Mr Bates vs The Post Office

  • Ce qui est intéressant dans ce scandale, c’est l’impact réel de la mini-série
    (Du point de vue d’un non-Britannique), l’attention du grand public semble avoir été déclenchée par la mini-série, et sans cela les personnes concernées seraient peut-être encore coincées dans le « labyrinthe administratif » sans pouvoir demander de comptes à qui que ce soit
    Je pense même que si cette fiction avait été mauvaise, les victimes seraient peut-être dans une situation encore pire aujourd’hui
    La section « Impact » sur Wikipedia vaut aussi le détour

  • J’ai beaucoup appris grâce au podcast de BBC Radio4, ‘The Great Post Office Trial’
    Je recommande The Great Post Office Trial Podcast

• Je suis ce scandale depuis longtemps, et j’ai l’impression que les deux citations ci-dessous résument tout. C’était vraiment triste
  « Il est rapporté que certains employés de Fujitsu savaient avant même le déploiement que Horizon pouvait produire des données erronées »
  « Bien que les plaintes aient augmenté et persisté année après année, la Post Office a résisté jusqu’au bout aux affirmations selon lesquelles Horizon produisait de fausses données »

  • J’ai tendance à penser que si, à l’époque, un développeur avait parlé d’un bug de code à un journaliste, c’est lui qui aurait fini en prison pour manipulation de preuves, cybercriminalité, divulgation de secret commercial, etc.

  • Le fait que les employés savaient que quelque chose allait dysfonctionner, mais que la hiérarchie a précipité le lancement pour éviter d’avoir à gérer la situation, n’est finalement pas si différent de l’éthique de travail dans la Silicon Valley

• Le fait que toute la réalité de ce scandale ait fini par être révélée doit beaucoup aux années d’enquête tenace menées par les journalistes de Private Eye
  Private Eye est aussi un média plein d’esprit, avec beaucoup de dessins satiriques très drôles
  Même si ce n’est que pour les caricatures, je recommande sincèrement de s’abonner à Private Eye pour soutenir son journalisme d’investigation

• En entendant cette histoire jusqu’au bout, c’est absolument accablant
  Beaucoup de gérants n’ont toujours pas été indemnisés, et ni la Post Office ni Fujitsu n’ont vraiment eu à rendre les comptes qu’elles méritaient, leurs responsables prenant leur retraite avec de confortables pensions
  Paula Vennels a failli être nommée évêque
  Les indemnisations sont payées par l’argent public britannique, et Fujitsu continue pourtant à travailler sous contrat avec le gouvernement anglais
  Quelques personnes courageuses — Alan Bates, Private Eye, Computer Weekly et d’autres — ont permis d’en arriver là, mais la vraie justice n’est toujours pas rendue

• Voici ce que j’ai envie de dire au NY Times
  La tournure passive « se sont suicidés » donne l’impression d’un événement inévitable, presque d’un acte de Dieu
  Il faut dire les choses clairement : ces gérants ont été envoyés en prison sur la base de fausses preuves issues d’un système comptable défaillant, et cela les a conduits à s’autodétruire
  Employer des formulations vagues comme s’il s’agissait d’une catastrophe naturelle brouille la vérité
  Horizon est le nouveau cas d’école qui devrait remplacer Therac-25
  Therac-25 a causé 6 morts ou blessés ; Horizon, lui, a détruit la vie de centaines de personnes et conduit des dizaines de personnes à la mort
  Le plus marquant, c’est que Horizon était un logiciel applicatif (Point-of-Sale, logiciel de comptabilité), pas un logiciel critique pour la sécurité, et qu’il a pourtant pu se transformer en catastrophe presque instantanément
  Les suicides ne sont pas dus au seul logiciel, mais au résultat social d’une confiance aveugle dans des institutions publiques et un système judiciaire qui ont en réalité organisé une dissimulation de grande ampleur
  La responsabilité de ces morts incombe aux systèmes juridique, politique et administratif
  Et les ingénieurs qui ont continué à jurer que « le système fonctionne toujours correctement » portent eux aussi une lourde responsabilité morale
  Résultat : des transactions parfaitement normales se retrouvaient mal enregistrées dans le système, au point que des opérations qui n’avaient jamais existé apparaissaient réellement, et l’écart qui en résultait faisait passer les gérants pour des voleurs
  À l’époque, la société faisait davantage confiance aux institutions, et comme cela se passait dans de petites agences de villages, cela a détruit à la fois les communautés locales et les activités économiques
  La conclusion, c’est qu’il faut vérifier rigoureusement les transactions et empêcher les développeurs de manipuler la base de données en environnement de production

  • Ce n’est pas le « deep state », c’est simplement « l’État »
    Ce type d’expression est trompeur parce qu’il divise l’État en bons et méchants
    Il n’existe pas de « deep Amazon », ni de « deep Meta »
    C’est plus simple que ça : une organisation comme l’État donne avant tout la priorité à sa propre survie et à son autodéfense

  • Le scandale Horizon est le tout premier sujet que j’enseigne dans mon cours de « conception de bases de données »
    Je veux que les étudiants comprennent qu’il ne s’agit pas d’un exercice théorique, mais de systèmes qui affectent réellement des vies
    J’enseigne aussi nécessairement les dimensions juridiques et éthiques
    Un système doit être auditable et bénéfique pour les personnes

  • Il est clair que tous ces suicides ont été la conséquence directe d’enquêtes atroces et d’une gestion incapable de résoudre les causes du problème, mais si l’actualité n’est pas rapportée en restant à 100 % sur les faits, cela peut être exploité pour esquiver les responsabilités
    Et je pense aussi que les ingénieurs qui savaient que le système était cassé mais ont continué à jurer qu’il fonctionnait portent une responsabilité morale énorme

  • C’est très bien dit
    Je pense qu’il nous faut un meilleur mot pour désigner les personnes qui mettent fin à leurs jours après avoir été harcelées
    Récemment encore, des communautés de harcèlement sur Reddit ont conduit une personne parfaitement saine à la mort
    Ce type de ciblage et de harcèlement est encore plus destructeur pour les gens ordinaires qui n’ont ni équipe de presse ni préparation

  • « Les développeurs ont tout gâché »
    C’est vrai, mais si l’impact a été multiplié par 100, c’est à cause de la réponse ignoble de la direction

C’est trop effrayant.
L’idée que des données enregistrées de manière malveillante puissent l’emporter sur la mémoire et l’expérience, devenir des preuves
et servir à nous menacer.