- Lorsqu’un YouTubeur a publié une vidéo démontrant une vulnérabilité d’un cadenas, le fabricant concerné a engagé une action en justice, alimentant la polémique
- L’entreprise avait d’abord publié une vidéo de réponse à la fois humoristique et professionnelle, avant de détériorer l’opinion publique avec des déclarations agressives sur les réseaux sociaux et un procès
- Le tribunal n’a pas encore statué sur la demande de mise sous scellés (seal request), et le changement d’attitude de l’entreprise est vivement critiqué
- L’affaire constitue un exemple typique d’effet Streisand : tenter de cacher une information ne fait qu’attirer davantage l’attention
- Au final, l’entreprise n’a récolté que perte de temps, coûts financiers et mauvaise publicité, et l’affaire est jugée comme un échec tant sur le plan juridique que politique
Contexte du procès et controverse autour de la demande de mise sous scellés
- L’avocat de McNally s’oppose fermement à la demande de mise sous scellés (seal request) de l’entreprise, en soulignant que celle-ci n’avait jusque-là exprimé aucune inquiétude au sujet du problème
- Selon l’avocat, « Proven n’a commencé à prétendre soudainement qu’il fallait préserver le secret qu’après avoir échoué à obtenir une injonction préliminaire (preliminary injunction) dans le cadre du procès »
- Il a également insisté sur le fait que Proven s’était livrée sur les réseaux sociaux à une promotion triomphante en annonçant qu’elle avait « poursuivi McNally », allant même jusqu’à encourager ses abonnés à rechercher l’affaire
- Le tribunal n’a pas encore rendu de décision sur cette demande de mise sous scellés
La réponse initiale de l’entreprise et son approche positive
- Proven a d’abord produit et publié une vidéo de réponse constructive après avoir vu la vidéo de McNally
- La vidéo commençait de manière humoristique avec le présentateur buvant une boisson Liquid Death, tout en reconnaissant qu’« il y a eu un peu de controverse ces derniers jours »
- Il poursuivait en affirmant : « nous n’avons pas peur des retours », montrant ainsi une attitude ouverte à la critique
- La vidéo expliquait le fonctionnement de ses cadenas et apportait du contexte sur la faisabilité réelle et les conditions d’une attaque par “shimming”
- Les utilisateurs préoccupés par ce type d’attaque étaient invités à opter pour un noyau haute sécurité plus onéreux
- Cette réponse a été saluée comme un exemple de bonne pratique : rapide, professionnelle et non défensive
L’extension de la controverse et l’effet Streisand
- Par la suite, Proven a cependant aggravé la situation par des déclarations agressives sur les réseaux sociaux et le dépôt d’une plainte
- Cette réaction est jugée comme une mauvaise décision à la fois sur les plans juridique et politique, et elle a fortement nui à l’image de l’entreprise
- Au final, l’affaire est devenue un cas emblématique d’effet Streisand, où la tentative de cacher une information provoque au contraire encore plus d’attention
- Le procès intenté par Proven a finalement eu pour effet de diffuser plus largement encore la vidéo de McNally et toute l’affaire
Confusion entre ressentiment personnel et jugement juridique
- Les documents judiciaires mentionnent à plusieurs reprises les notions de moquerie (ridicule) et de harcèlement (harassment), ce qui laisse apparaître que l’affaire a pris pour l’entreprise et ses employés une dimension émotionnelle et personnelle
- L’entreprise affirme s’être sentie ridiculisée ou menacée, mais la défense rétorque que « la moquerie n’est pas illégale et ne peut constituer ni une violation du droit d’auteur ni un motif de poursuite »
- Le harcèlement en ligne reste un problème sérieux, mais une procédure de représailles fondée sur des ressentis personnels est jugée peu avisée
- D’autant que McNally est déjà un influenceur disposant d’une audience massive, connu pour ne pas reculer et pour publier des vidéos de réponse même face à des demandes de retrait DMCA
Résultats et leçons à retenir
- Le procès intenté par Proven a entraîné une perte considérable de temps et d’argent, sans quasiment rien apporter d’autre que de la publicité négative
- Cette affaire montre comment une entreprise doit trouver l’équilibre entre la réponse aux critiques et l’action en justice,
et remet en lumière l’importance d’une stratégie de communication transparente et souple
1 commentaires
Commentaires sur Hacker News
Si vous ne connaissez pas encore LockPickingLawyer, je recommande vraiment de regarder ses vidéos
Il démonte en quelques secondes les prétentions de sécurité fragiles de nombreuses entreprises
C’est assez fascinant de voir à quel point la plupart des cadenas sont en réalité peu sûrs
Je me demande si quelqu’un a déjà intenté un procès contre lui
C’est probablement pour cela que Covert Instruments n’a pas été incluse dans la plainte
La vidéo durait 2 minutes, donc au début je me suis dit « celui-ci doit être costaud », mais en fait il y ouvre 10 cadenas d’affilée
Ses vidéos du 1er avril sont aussi très drôles — par exemple celle où il entre dans le castor de sa femme (SFW)
Pour quelqu’un de compétent, il n’y a qu’une minute d’écart entre un modèle à 3 dollars et un autre à 300 dollars
Un vrai voleur n’est arrêté par aucun cadenas, mais un voleur paresseux l’est par n’importe lequel
C’était un loisir bon marché et amusant pendant les confinements liés au Covid
En 2007, j’ai mis en ligne la première vidéo YouTube montrant comment ouvrir un Master Lock #175 avec un trombone
Après avoir dépassé 1,5 million de vues, la vidéo a été démonétisée sans raison
C’était probablement à cause d’une réclamation DMCA, mais à l’époque je n’avais pas d’argent, donc je l’ai simplement accepté
J’ai ensuite fermé le compte, mais je comprends maintenant que ce genre de vidéos pousse les fabricants à améliorer la sécurité
Récemment, les tolérances du #175 ont été améliorées, donc il ne s’ouvre plus avec un trombone, mais il s’ouvre toujours de la même manière avec un pick fin en matériau résistant
Le dicton « les cadenas ne servent qu’à maintenir honnêtes les gens honnêtes » reste vrai
Ils peuvent détruire un cadenas bien plus vite avec une scie ou une meuleuse
Dans les années 1980, j’avais téléchargé sur BBS un fichier expliquant comment ouvrir ces cadenas
On peut toujours le consulter à ce lien
L’entreprise a fini par retirer sa plainte contre McNally
Mais elle a aussi fait une étrange demande pour que l’intégralité du dossier judiciaire soit placée sous scellés
Cela ressemble à un comportement classique d’entreprise intimidatrice, qui fanfaronne d’abord puis recule
Rejeter la faute du retour de bâton provoqué par son propre procès sur « l’influence du défendeur » est absurde
Au final, c’est devenu un cas d’école d’effet Streisand
La leçon, c’est qu’il faut se méfier des dirigeants qui ne savent pas gérer les réseaux sociaux
Elle existe depuis plus de 7 ans, mais n’a toujours pas réalisé 100 000 dollars de chiffre d’affaires, et a 9 millions de dollars de dettes
On dit que le fondateur a repéré ses critiques sur Reddit et leur a envoyé des lettres de menace
L’entreprise a levé 6 millions de dollars sur WeFunder, mais avec plus d’un million de dollars brûlés par an, il est peu probable que cet investissement se transforme en rendement
Il est donc presque impossible de le convaincre de ne pas se disputer sur les réseaux sociaux
Au tribunal, un employé de Proven a reconnu qu’il avait pu reproduire directement la technique de McNally
Quand l’avocat a alors demandé « dans ce cas, n’aurait-il pas mieux valu corriger le cadenas avant d’engager un procès ? »,
cette seule phrase a suffi à clarifier l’issue de l’affaire
Autrefois, dans une entreprise où j’ai travaillé, les mots de passe étaient conservés dans un coffre, mais un jour la clé a été perdue
On a fini par casser le coffre au marteau pour récupérer les mots de passe
Certains se sont plaints en disant « alors ce coffre n’est pas sûr », mais l’équipe sécurité a répondu : « c’est un comportement prévu »
C’est là que j’ai compris — aucun coffre n’est parfaitement sûr, il ne fait que faire gagner du temps
La première réponse vidéo de l’entreprise n’était pas si mauvaise
Avec l’argument « aucun client n’a jamais vu de shim sur le terrain », elle soutenait que la sécurité n’a pas besoin d’être parfaite, seulement suffisante
Mais continuer à fabriquer des cadenas vulnérables au shimming reste anachronique
En plus, leur modèle présenté comme anti-shim se contentait essentiellement d’une rainure supplémentaire
Le shimming est si rapide et ne laisse tellement pas de traces que, même sous surveillance 24 h/24, on risque simplement de croire que « la clé a été perdue »
Un youtubeur a ouvert en 10 secondes un cadenas à 100 dollars avec un morceau de canette
C’était une vidéo qui pulvérisait totalement les affirmations de l’entreprise, uniquement par la démonstration, sans dire un mot
Une performance vraiment de niveau master class
Il existe une vidéo qui traite l’affaire réelle plus en profondeur
On peut la voir à ce lien,
et elle mentionne aussi la possibilité que Lee ait commis un parjure (perjury) pendant son témoignage
Les fabricants de cadenas devraient adopter la RFID et la validation logicielle des clés
Ainsi, le partage de clés pourrait devenir illégal
Ils sont alimentés par le mouvement mécanique de rotation de la clé, donc pas besoin de batterie
Dans des lieux comme les immeubles locatifs, où les occupants changent souvent, c’est plus efficace à gérer
Mais en pratique, il y a aussi beaucoup d’inconvénients propres aux systèmes logiciels, comme les faux contacts ou l’usure qui empêchent une bonne reconnaissance
(commentaire humoristique faisant allusion à une clé de chiffrement)
afin de rendre l’accès lui-même illégal
Les systèmes juridiques varient énormément selon les pays
Si l’on veut que quelque chose reste fermé pour toujours, il suffit de le sceller, et si l’on veut l’ouvrir et le fermer, il suffit d’y mettre des charnières
Si l’on veut que seules certaines personnes puissent l’ouvrir, il faut le placer dans un environnement de confiance
Si l’on vit dans un bon quartier, n’est-ce pas suffisant ?