Le triste état de la cyber-sécurité

Publié 14 septembre 2015 par lpoulain
Catégories : Sécurité

Force est de constater que l’état de la cyber-sécurité est piteux. Nombreuses sont les institutions qui se sont fait pirater. Un des cas les plus sérieux est celui du bureau de gestion du personnel américain (Office of Personnel Management ou OPM) qui s’est fait voler les informations sur tous les employés d’état, ainsi que de toutes les personnes ayant une accréditation secret défense – plusieurs millions de personnes en tout.

L’état des lieux n’est guère plus reluisant du côté des produits grand public. Des chercheurs ont par exemple réussi à prendre contrôle à distance d’une Jeep (et potentiellement des millions de véhicules de marques Jeep, Fiat ou Chrysler). Et très peu de smartphones Android ne recevront un correctif pour une importante vulnérabilité récemment découverte permettant de prendre le contrôle du smartphone avec un simple message MMS.

Quand on sait que n’importe quel site Web, webcam ou appareil constamment branché sur Internet est traqué par des moteurs de recherche spécialisés, ou pourrait penser que les fabricants sont un peu prudent en matière de sécurité. Hélas, c’est rarement le cas.

On est en raison de demander pourquoi il y a autant de failles. Il existe deux principales raisons.

Les multiples failles possibles

La première raison est que les systèmes actuels sont de plus en plus complexes. Et que plus un système est complexe, plus il y a de failles potentielles.

Considérons le cas d’un site service Web lambda qu’un hacker veuille compromettre :

  • Ce dernier peut essayer de trouver des failles connues à tous les niveaux logiciel, qu’il s’agisse du système d’exploitation, du serveur Web, du serveur d’application, dans l’espoir que la compagnie n’a pas encore appliqué tous les correctifs
  • Il peut essayer de trouver des failles dans le site Web même que la compagnie a écrit
  • Il peut essayer d’intercepter des communications réseau pour récupérer des codes d’accès
  • Il peut essayer de se connecter en tant qu’un employé en utilisant des mots de passe commun (il y aura bien un pour essayer d’utiliser « 123456 » comme mot de passe)
  • Il peut essayer de contacter un ex-employé qui a une dent contre la compagnie, dans l’espoir d’obtenir des informations
  • Il peut tenter d’envoyer du malware à des employés par email, permettant par exemple de controller à distance leur machine. Il peut avant l’attaque télécharger les antivirus du marché pour s’assurer qu’ils ne détecteront pas le malware
  • Finalement, il peut utiliser de l’engineering social, comme appeler un nouvel employé et se faire passer pour le patron afin de soutirer des informations. Ou appeler le patron et se faire passer pour quelqu’un de l’équipe informatique en lui demandant d’installer un « correctif d’urgence »

Car il ne faut pas sous-estimer l’ingéniosité de certaines attaques. Prenons l’exemple de la cryptographie. Imaginez le scénario hypothétique où vous devez 20 € à Bob, et que pour le régler vous envoyez un email encrypté à votre banque. Cet email contient votre identifiant, mot de passe, numéro de compte, et demande de verser 20 € à Bob. Il est encrypté de telle sorte que même si Bob intercepte le message, il ne peut ni le décrypter ni même le modifier sans que la banque découvre la supercherie.

Mais qu’arrive-t-il si Bob envoie plusieurs copies de votre email à la banque ? Si cette dernière n’a pas de mécanisme contre ce type d’attaque (appelé replay attack), vous allez payer bien plus que 20 € à Bob.

Un problème spécifique à l’informatique ?

Il ne faut cependant pas croire que la sécurité informatique soit beaucoup moins fiable que la sécurité physique. Considérons le cas des cambrioleurs. Ils rivalisent souvent d’astuce pour arriver à leurs fins :

  • Tout d’abord, il existe de nombreuses techniques pour trouver des gens qui vont en vacance. Cela va de glaner des informations sur Facebook à prendre de discrètes photos dans un aéroport de l’adresse sur les bagages
  • Regarder s’il n’y a pas de clé de secours sous la paillasson
  • Vérifier si une fenêtre n’est pas à portée
  • Vérifier si le propriétaire n’a pas oublié de verrouiller la porte de derrière
  • Crocheter la serrure de la porte d’entrée. Après tout, même des serrures « haute sécurité » vendues aux banques peuvent être facilement crochetées par des professionnels
  • Utiliser une scie sauteuse électrique sans fil pour faire un joli trou dans la porte
  • Dans le cas d’une cible stratégique (comme une ambassade), corrompre du personnel local (pompier, plombier, etc.) afin de pouvoir voler des informations ou planter des micros
  • Se faire passer pour un officier de police ou un pompier, afin d’avoir accès à la maison – parfois en invoquant un prétexte quelconque pour que le propriétaire quitte les lieux

La grande différence est que sur Internet le coût de chaque attaque est bien moindre, et que le risque est quasi-inexistant. Et le hacker peut réessayer autant de fois qu’il veut. Car il n’a besoin d’être chanceux qu’une fois. La victime, elle, doit faire échouer toutes les attaques.

Le manque de préoccupation

Un autre problème est que la sécurité est rarement au centre des préoccupations. A l’heure actuelle, toute personne travaillant sur du matériel ou logiciel étant de près ou de loin connecté à Internet devrait avoir une formation de base en cyber-sécurité. En pratique, c’est rarement le cas. Trop de logiciels ou matériels sont conçus et/ou configurés sans avoir pensé à la sécurité – même en 2015.

Car la sécurité n’est pas quelque chose qui se voit. Quelle est la probabilité que votre produit ou site Web soit piraté ? Difficile à estimer. Si tout le monde s’accorde à dire que la sécurité est important, dans les faits elle n’est pas une priorité – et ce à aucun niveau. Les dirigeants ne sont pas intéressés pour mettre les ressources nécessaires. Nombreux sont les projects qui doivent être développés le plus vite possible – si la sécurité n’est pas une priorité par la hiérarchie, elle passe à la trappe.

Dans le cas de l’Office of Personnel Management, l’organisation employait des consultants externes étrangers Argentin et Chinois. Ces consultants travaillaient depuis leur pays… et avaient accès administrateur au système ! Dans le cas de Sony, de nombreux identifiants et mots de passe étaient stockés… dans des fichiers Excel !

Pourquoi donc la sécurité n’est-elle pas une priorité ? Parce que les clients (commerciaux comme grand public) ne récompensent que trop rarement la sécurité – encore une fois parce que les conséquences sont floues. Tout le monde bien évidemment pense que la sécurité est importante. Mais trop peu font des recherches sur le sujet ni même prennent en compte ce critère lors de l’achat. Mis à part les pubs Apple PC contre Mac des années 2000, l’argument de la sécurité est rarement mis en avant car peu vendeur.

Imaginez deux logiciels : un développé à l’a-va-vite, et l’autre avec des développeurs formés à la cybersécurité qui vont tester sérieusement la sécurité de leur produit. Lequel aura le plus de succès ? Celui qui sera prêt le plus tôt ou celui qui sera un peu plus cher et arrivera plus tard sur le marché ?

Comment se protéger

Avec cela, que peut-on faire ? La liste est trop longue pour tenir dans cet article. Pour les particuliers, je donnerais cependant deux conseils :

  • Avoir une solution de sauvegarde automatique solide : un nombre croissant de malware sont de type ransomware. Ils encryptent le disque dur de leurs victimes et leurs donnent à ces dernières quelques heures pour payer s’ils veulent récupérer leurs données. Avoir une solide solution de sauvegarde est utile dans ce cas-là. Il existe plusieurs services de sauvegarde en ligne qui sauvegardent automatique tous les documents qu’ils trouvent sur l’ordinateur.
  • Kevin Mitnick, un ancien hacker reconverti, demande parfois aux gens s’ils seraient prêts à dépenser $200 pour améliorer la sécurité de leur ordinateur. La plupart répondent par la positive. Il leur conseille alors d’acheter un Chromebook Google, et de l’utiliser exclusivement pour accéder aux sites Web sensibles (tels que les sites bancaires) en utilisant le mode invité. Et bien évidemment de n’accéder à ces sites que par le Chromebook – on oublie l’appli du smartphone.

Crapware préinstallé: l’année 2015 s’annonce fructueuse

Publié 15 août 2015 par lpoulain
Catégories : Sécurité

Quasiment tous les constructeurs de PC préinstallent des logiciels sur leurs ordinateurs. Et il leur arrive parfois d’installer du « crapware », c’est-à-dire des logiciels qui espionnent les utilisateurs et/ou leur affichent des pubs. Et l’année 2015 démarre sur les chapeaux de roue:

  • En février, Lenovo s’est fait prendre la main dans le sac, le constructeur ayant installé un crapware nommé Superfish sur ses ordinateurs. Ce programme espionne l’utilisateur lorsqu’il fait du shopping en ligne et fournit des alternatives. Lenovo a affirmé avoir installé Superfish « dans l’intérêt des utilisateurs » bien sûr. Cerise sur le gâteau, ce programme compromet les sessions Web sécurisés afin de pouvoir espionner les utilisateurs quel que soit les sites qu’ils visitent. Lenovo s’est excusé et a fourni les instructions pour désinstaller Superfish.
  • En juin, Samsung a préinstallé sur ses PCs un programme nommé… Disable_Windowsupdate.exe qui, comme son nom l’indique, désactive les mises à jour de Windows. La raison officielle est « d’offrir à nos utilisateur l’option de choisir s’ils veulent les mise à jour Windows ». Samsung aurait-il peur que des mises à jour de Windows Defender prenne les autres logiciels qu’ils a préinstallé pour du malware?
  • Rebelote pour Lenovo qui fait encore fait parler de lui en Août. Cette fois-ci, le constructeur a carrément installé un crapware nommé Lenovo Service Engine (LSE) dans le matériel au niveau du BIOS. Même en cas de réinstallation de Windows, le BIOS réinstallera LSE (Lenovo a depuis très discrètement fourni un correctif du BIOS pour laptop et ordinateur de bureau). Et que fait LSE? Il fournit des informations à Lenovo… et peut être piraté pour prendre le contrôle de l’ordinateur à distance. Deux fois en même pas un an… et l’année est loin d’être terminée. Lenovo a fait très fort!

Pourquoi donc les constructeurs de PC continuent-ils d’installer des logiciels nocifs au dépend de la sécurité? La raison est que le PC est un marché aux marges très faibles. Quand tous les PC se ressemblent, les clients choisissent principalement sur le prix.

Et un moyen de baisser artificiellement le prix est de « subventionner » le prix du PC en préinstallant des logiciels dont les éditeurs sont prêts à payer. Et quels sont les éditeurs qui paieront le plus pour que leur logiciel soit installés gratuitement sur des PC? Les plus mal intentionnés bien évidemment.

Ce phénomène n’est ni nouveau ni limité au marché du PC. Mark Pincus, fondateur de Zinga, s’est targué en public d’avoir distribué du crapware afin de faire du chiffre d’affaire le plus rapidement possible.

De la même manière, nombreux sont ceux qui pensent que lorsque les utilisateurs ne payent pas pour un service tel que Facebook ou Google, ils ne sont pas les clients mais le produit.

Tout ça n’est pas de bonne augure pour Android, un marché au moins aussi difficile que celui du PC. Même Samsung a du mal. Quant aux plus petits fabricants, certains ne gagnent qu’un centime de profit par smartphone.

La morale de cette triste histoire est que choisir un produit le moins cher possible a parfois un coût.

La fin d’une époque pour Microsoft ? Pas vraiment

Publié 6 février 2014 par lpoulain
Catégories : Microsoft

Microsoft a annoncé son nouveau PDG en la personne de Satya Nadella. En même temps, Bill Gates a quitté son poste de directeur du conseil d’administration.

Le bilan de Steve Ballmer

Le bilan de Microsoft sous Steve Ballmer relève du paradoxe. D’un côté, la compagnie a fait passer son chiffre d’affaire annuel de $23 milliards en 2000 à $74 milliards en 2012, et ses profits de $9 milliards à $17 milliards. Bien des compagnies aimeraient avoir de tels chiffres. Mais d’un autre côté, Microsoft a vu sa capitalisation boursière fondre de $600 milliards lorsque Ballmer est devenu PDG à $270 lors de l’annonce de son départ.

Comment la capitalisation boursière d’une entreprise peut-elle perdre la moitié de sa valeur lorsque l’entreprise a triplé ses ventes et doublé ses profits ?

Le paradoxe s’explique par le fait que le prix d’une action ne relève pas de la valeur actuelle d’une entreprise mais de sa valeur future supposée. Or en 2000, Microsoft semblait invincible. Il avait vaincu tous ses concurrents importants (IBM, Lotus, WordPerfect, Novell, Netscape) et s’était approprié leurs parts de marché. La compagnie contrôlait le marché du PC qui était le marché le plus dynamique de l’informatique, promis à un avenir radieux. En 2000, les investisseurs s’attendaient à une future forte hausse du CA comme des profits, expliquant une forte capitalisation. Mais ils s’attendaient certainement à ce que Microsoft garde sa toute-puissance, ce qui ne fut pas le cas. Comme chacun sait, Microsoft n’a pas conquis les nouveaux marchés en forte hausse, en particulier l’informatique mobile.

Et maintenant ?

Maintenant que Ballmer n’est plus PDG, est-ce la fin d’une époque ? Pas vraiment.

Tout d’abord, le nouveau PDG travaille chez Microsoft depuis 1992. C’est une bonne chose dans la mesure où un nouveau venu pourrait avoir du mal à être accepté quand les deux précédents PDG (Steve Ballmer et Bill Gates) font presque partie du mobilier. D’un autre côté, il n’apporte pas de sang neuf, et il n’y a aucune indication qu’il veuille changer la direction actuelle de l’entreprise. Pas de revente de la division Bing ou Xbox comme le demandent certains investisseurs (que cela soit une bonne chose ou pas). Pas d’abandon du marché grand public pour se concentrer sur le marché d’entreprise.

Ensuite, si Bill Gates n’est plus le directeur du conseil d’administration, il reste au conseil en tant que « conseiller technologique » et va « dévouer plus de temps à la compagnie, supportant Nadella sur la direction technologie et produit. »

Il faut se rappeler que les changements se sont produits du fait de pressions des actionnaires – certains demandant même que Gates quitte la compagnie. Steve Ballmer n’était pas pressé de partir en retraite, soutenu par Bill Gates. Ce dernier a il semble du plier sous la pression des actionnaires. Mais qu’a fait Ballmer (avec sans doute la bénédiction du conseil d’administration) ?

  • Peu avant l’annonce officielle de son départ, il a lancé en chantier une grande réorganisation
  • Il a depuis signé le rachat de Nokia
  • Après la passation de pouvoir, Bill Gates comme Steve Ballmer restent au conseil d’administration
  • Bill Gates va dorénavant consacrer plus de temps à Microsoft (« un tiers de son temps ») et travailler avec Nadella sur la « direction technologie et produit »

Tout cela ressemble fortement à une lutte de pouvoir au sommet. D’un côté certains actionnaires activistes qui veulent changer l’équipe actuelle, et de l’autre Bill Gates et Steve Ballmer qui en théorie offrent du changement mais esquivent le changement qui les concernent.

En attendant, Nadella a du pain sur la planche. Il est connu pour avoir été à la tête de la plateforme Internet de Microsoft – plateforme qui supporte des produits aussi variés que Windows Azure ou Bing. L’avenir dira s’il est à même de comprendre le marché du grand public.

Reconquête du grand public

Si Microsoft a eu beaucoup de succès sur l’informatique d’entreprise, il n’a pas réussi à contrôler les marchés qui se sont développés depuis, à savoir le Web et l’informatique mobile. Redmond n’a pas réussi à renverser Google, et peine à vendre ses smartphones et tablettes. De ce fait la firme de Bill Gates perd petit à petit son emprise sur le marché grand public. Redmond a fait une percée fulgurante sur l’informatique d’entreprise, mais le marché du moment est le marché grand public. Or Microsoft a pendant trop longtemps été habitué à vendre le même produit sur les deux marchés.

Généralement, lorsqu’un produit passe du marché d’entreprise au marché des particuliers, il subit souvent une transformation pour refléter les différences des deux marchés. Pensez au smartphone (du BlackBerry à l’iPhone), au 4×4 (de la Jeep militaire au 4×4 de ville), aux caméras, magnétoscopes, etc. Le PC par contre a été vendu tel quel au grand public, écrasant la concurrence du fait de ses économies d’échelle. Des logiciels tels que Windows ou Office sont conçus avant tout pour l’entreprise et sont beaucoup trop complexes pour les besoins des particuliers – ne parlons pas de MS-DOS qui était tout sauf « user-friendly ».

Cette stratégie ne fonctionne plus sur le marché de l’informatique mobile. Agiter la marque Windows et Office n’est pas suffisant pour détourner l’attention d’iOS ou d’Android. Microsoft a tenté avec Windows 8 d’imposer une interface graphique unique pour le PC d’entreprise comme pour les tablettes grand public et a du affronter une résistance que l’on n’avait pas vu depuis Windows Vista.

Reste à savoir si Nadella aura à la fois la volonté et les mains libres pour chercher une autre stratégie.

Il y a visionnaire, visionnaire et… pas visionnaire du tout

Publié 22 janvier 2014 par lpoulain
Catégories : Evolution

Le terme de « visionnaire » est une constante ces temps-ci. De la même manière qu’être un « leader » est beaucoup plus classe qu’être un « manager », il est beaucoup plus noble d’être un « visionnaire » que d’être effectif opérationnellement.

Nombreux sont les PDG qui se sont pris pour des visionnaires mais qui n’en sont pas : John Sculley (ancien PDG d’Apple qui a lancé le Newton), Jean-Louis Gassée (ancien d’Apple qui a fondé Be Inc), Dean Kamen (inventeur du Segway, qui prédisait que ce dernier allait révolutionner les transports) et tant d’autres. Ces personnes sont souvent opérationnellement fort compétentes, mais n’ont pas réussi à créer un produit ou un modèle qui a eu du succès.

Fort heureusement il existe de nombreux visionnaires qui ont changé le monde. Dans la suite de cet article, j’entends par « visionnaire » quelqu’un qui a poussé une vision envers et contre tout et qui l’a transformée en quelque chose de concret. Simplement imaginer ce que sera le futur en laissant à d’autres le soin de le créer ne constitue pas le qualificatif de « visionnaire » à mes yeux. Quelques exemples :

  • Henry Ford a démocratisé l’automobile en constamment baissant les prix – même lorsque les carnets de commande étaient pleins.
  • Bill Gates et Paul Allen ont créé avec Microsoft le concept d’éditeur de logiciel à une époque où le matériel était considéré comme le composant le plus important.
  • Marc Benioff, le co-fondateur de Salesforce.com, a répandu le concept de « Software as a Service » à une époque où les gens pensaient que les entreprises ne mettraient jamais leurs données importantes sur Internet – sentiment qui s’est renforcé après l’éclatement de la bulle Internet en 2000.
  • Ed Catmull et Alvy Ray Smith, les co-fondateurs de Pixar, ont pensé à créer un film entièrement en image de synthèse 25 ans avant que la technologie ne le permette.
  • Thomas Watson Jr, le fils du fondateur d’IBM, a su voir que l’avenir était aux ordinateurs alors que Big Blue était assis confortablement sur le marché des tabulatrices. Il a joué à quitte ou double en lançant la série de mainframe 360.

Quel est le point commun de tous ces visionnaires ? Ils ont tous eu une seule vision. C’est bien plus que la plupart d’entre nous, mais cela ne correspond pas à l’image que l’on se fait du visionnaire qui peut constamment changer le monde.

Trouver une vision valide et arriver à la mettre en oeuvre est tout sauf facile. Outre l’idée de départ, de nombreux autres facteurs sont nécessaires tels que la chance et un bon timing. Réussir ce tour de force une seule fois dans sa vie est rare. Le réussir plusieurs fois l’est encore plus. Il existe des personnes qui ont eu plusieurs visions, comme cette personne dont je tairais le nom (car trop souvent mentionné) qui a démocratisé l’interface graphique, converti le marché du smartphone au grand public et popularisé les tablettes. Mais la plupart des visionnaires trouvent leur vision (souvent par hasard) qu’une fois dans leur vie.

Depuis le succès de Salesforce.com, Marc Benioff cherche une nouvelle vision mais pour l’instant n’a pas trouvé. Il y a quelques années, Salesforce n’arrêtait pas de parler de « social enterprise » qui, Benioff l’a admit depuis, n’a pas marché. Désormais la compagnie ne parle plus que de « the Internet of customers« . Mais un mot-clé reste toujours tout autant utilisé : « révolution »

Dans d’autres cas, la vision initiale peut aveugler. Ce phénomène fut fort bien exprimé par Bill Gates : « Le succès est un piètre enseignant, il séduit les gens intelligents en leur faisant penser qu’ils ne peuvent pas perdre. » Il est de nature que l’on préfère ses idées – même dans le cas d’expérience où « son » idée est plus due au hasard qu’à autre chose. L’effet est encore plus puissant lorsque l’idée en question a eu beaucoup de succès.

Avec sa Ford T, Henry Ford a révolutionné le monde de l’automobile. Mais obnubilé par son idée d’automobile bon marché, il a ignoré le changement suivant introduit par Alfred Sloan, PDG de General Motors. Conscient qu’il ne pouvait pas concurrencer Ford sur le prix, Sloan a en effet introduit des changements que les clients voulaient une fois que l’idée d’une voiture s’est démocratisée. Des voitures de différentes couleurs, l’apparition du prêt auto, et le concept de sortir un nouveau modèle tous les ans. Henry Ford, par contre, est resté focalisé sur des prix toujours plus bas, même si cela voulait dire un modèle unique disponible seulement en noir (c’était la couleur qui séchait le plus vite, ce qui accélérait le rendement des chaînes de production)

Bill Gates -et par extension Microsoft- a ironiquement été victime du phénomène qu’il a lui-même décrit. La compagnie, qui a commencé en vendant le langage de programmation BASIC pour ordinateurs personnels, a failli manquer le marché du système d’exploitation qu’IBM lui offrait, trop occupée à vouloir vendre son BASIC. Par la suite, Microsoft est devenu obnubilé par ses deux produits phare : Windows et Office. Dans les années 90, Gates a tué un concept de liseuse électronique parce que l’interface ne ressemblait pas à celle de Windows. La stratégie actuelle de Redmond est « Windows everywhere » (de la Xbox aux tablettes), que le système d’exploitation soit adapté ou pas. Même son de cloche avec Office. Bill Gates a récemment critiqué l’iPad pour son absence de support pour MS-Office – même si cela ne semble pas gêner le grand public. Et une publicité de Microsoft qui critique le Chromebook de Google note une fois de plus -vous l’aurez deviné- l’absence d’Office.

Attention, je ne parle pas de changement qu’il n’est facile de ne voir qu’après coup. Ford a pu juger très rapidement du succès de General Motors, et même s’apercevoir que de nombreux particuliers dépensaient de l’argent pour faire repeindre leur Ford d’une autre couleur. Quant à Microsoft, les critiques du concept de « Windows everywhere » ne datent pas d’hier.

La rançon du succès

Pour être tout à fait honnête, dés qu’un visionnaire rencontre la notoriété, toute erreur devient beaucoup plus visible. Si un visionnaire échoue plusieurs fois avant de trouver sa vision, on oubliera souvent ses échecs (évidemment, ils se sont produits avant qu’il ne soit célèbre). Au mieux on saluera sa persistance. Mais si un visionnaire échoue après qu’il ait eu du succès, chacun de ces échecs sera étalé dans la presse, avec son cortège de gens qui penseront que cette personne est has been.

Très peu de gens savent que l’éditeur de jeux vidéo Rovio a publié pas moins de 51 jeux avant de lancer Angry Birds (la compagnie était d’ailleurs proche du dépôt de bilan). Par contre, si désormais ils ne sortent ne serait-ce que 5 bides, tout le monde dira qu’ils sont terminés.

Conclusion

Avoir un talent est rare. Sa combinaison encore plus. Et de fait, beaucoup des visionnaires reconnus n’auront qu’une seule vision dans leur vie. Cela n’enlève toutefois rien à leur mérite. Des gens comme Henry Ford ou Bill Gates restent des gens brillants, et n’avoir « que » une vision est bien plus que 99,99% d’entre nous.

« Prédictions » 2014

Publié 1 janvier 2014 par lpoulain
Catégories : Evolution

La tradition veut que les blogueurs donnent en chaque début d’année leurs prédictions. Et comme chaque année, plutôt que de vouloir prédire soit des banalités (« le marché du mobile va croître ») soit des choses qui ont toutes les chances de se révéler fausses, je préfère parler des challenges auxquels seront confrontés les géants du secteur (dans mon cas, l’informatique grand public)

Pour tous, le but pour 2014 est bien évidemment une histoire de croissance. Comment y arriver dépend cependant de la compagnie.

Apple

La firme à la pomme a eu une bonne année 2013. L’iPhone 5s s’est bien vendu, permettant à Apple de tenir le haut du pavé du marché des smartphones haut de gamme.

Combien de temps ce marché va durer face aux smartphones d’entrée de gamme ? C’est la toute la question. Chaque année il devient de plus en plus difficile de tenir le public en haleine avec un nouveau modèle. Et plus le temps passe, plus les smartphones d’entrée de gamme deviennent suffisamment bon. Le challenge d’Apple est donc d’alimenter le marché des smartphones haut de gamme et d’éviter -ou de repousser le plus possible- la baisse des prix comme c’est arrivé avec le PC/Mac.

Autre challenge : inverser le ralentissement du chiffre d’affaire de l’iPad. Si les ventes mêmes ont bien augmenté par rapport à 2012, le CA total n’a que faiblement augmenté.

Google

Le challenge du géant de Mountain View est, comme les années précédentes, d’éviter que l’écosystème Android n’explose. Car les problèmes ne manquent pas lorsqu’on distribue un système d’exploitation libre sur un grand nombre de smartphones et autres appareils variés.

Tout d’abord, Android souffre d’une forte fragmentation, à la fois en termes de type d’appareils mais également en termes de version d’Android utilisées. Peu de smartphones Android peuvent en effet mettre à jour le système d’exploitation du fait d’un processus compliqué. Cette double fragmentation a pour conséquence de fragiliser la sécurité du système d’exploitation et rend difficile le développement d’applications qui vont tourner sur le plus d’appareils possibles.

Côté constructeur, un phénomène inverse de consolidation se produit – et paradoxalement représente également un danger pour Google. Samsung est en effet de loin le plus important constructeur Android, devenant trop puissant au goût de Google – à tel point que le géant coréen pense lancer son propre système d’exploitation.

Pour contrer ces deux phénomènes, Google utilise des services et API propriétaires pour contrôler Android bien que ce dernier soit libre. Le succès de ses applications sur Android (Maps, Gmail, Hangout, etc.) permet à Google de forcer les constructeurs à respecter certaines normes s’ils veulent que ces applications soient disponibles sur leurs appareils. Qui plus est, Google fournit une API propriétaire qui simplifie et harmonise le développement sur Android. Mais là encore, cette API n’est disponible que sur les smartphones des constructeurs qui montrent patte blanche. Mais tout cela n’est pas forcément suffisant et diriger l’écosystème Android est un peu comme essayer de coordonner une équipe de chats. En d’autres termes, bon courage !

Autre challenge pour Google : rendre l’écosystème Android plus profitable. Android est peut-être le système mobile le plus installé, il règne surtout sur le marché d’entrée de gamme – un marché à faibles marges. iOS garde par contre une part disproportionnée des profits du marché, des ventes en ligne et de l’utilisation même des appareils mobiles.

Finalement, l’écosystème Android est toujours à la traîne en matière de brevets et continue d’être poursuivi en justice pour diverses violations de brevet.

Une bonne surprise pour Google en 2013 a été son Chromebook dont les ventes semblent avoir décollées selon une étude du NPD Group (encore que le marché analysé reste vague). Les Chromebooks sont également en tête de liste des ventes d’Amazon.com. Signe qui ne trompe pas : Microsoft a même lancé aux Etats-Unis des pubs critiquant le Chromebook. Un fait rarissime de la part de Redmond qui a pour habitude d’ignorer la concurrence Windows. Les parts de marché de Chromebook restent cependant faibles et Google devra transformer l’essai.

Microsoft

Même si sa tablette Surface 2 et son système d’exploitation mobile Windows Phone 8 se vendent mieux que leurs prédécesseurs, Redmond a encore beaucoup de chemin à faire sur le marché de l’informatique mobile. Pas facile de se forger une place face à iOS et Android qui occupent déjà le terrain. Et si la stratégie de vouloir utiliser Windows partout a des avantages (le noyau Windows équipe désormais Windows Phone comme la Xbox One), elle présente également ses inconvénients. La tablette Surface consomme plus de ressources que l’iPad, et vouloir utiliser le même système sur PC et tablettes représente un problème que personne n’a à ce jour réellement résolu.

Le challenge du prochain PDG de Microsoft sera donc d’alimenter la progression sur le marché mobile avant que Wall Street ne perde patience et ne décide de le débarquer – je doute en effet que le prochain PDG puisse durer autant de temps que son prédécesseur s’il n’affiche pas des résultats probants.

L’autre challenge est opérationnel. Redmond s’est en effet lancé dans une réorganisation pour abattre les fiefs et que toutes le divisions fonctionnent en concert (le fameux slogan « One Microsoft »). On ne réorganise cependant pas une compagnie de cette taille comme ça. Un des barons s’est fait éjecter, mais cela ne suffira pas. En plus de mener à bien la réorganisation, le futur PDG devra s’assurer que le rachat de Nokia se passe au mieux – un rachat de cette taille n’étant jamais trivial.

Facebook

La mode, c’est ce qui se démode. Et ce phénomène touche le réseau social de plein fouet. Les adolescents désertent en effet Facebook pour d’autres services tels qu’Instagram ou Snapchat. Difficile en effet de rester cool lorsque les grand parents des dits ados sont sur Facebook et veulent les friender.

Le challenge pour Mark Zuckerberg sera donc de rendre Facebook à nouveau cool, que ce soit en développant de nouveaux services ou en rachetant des nouveaux venus sans tuer la poule aux oeufs d’or après le rachat.

Samsung

Le géant Coréen a un challenge sur deux fronts. Tout d’abord face à Apple. Son smartphone haut de gamme, le Galaxy S4, a en effet eu des ventes décevantes face à l’iPhone 5s. Si Samsung reste le poids lourd parmi les constructeurs Android, ses résultats pour 2013 ont déçu les investisseurs. Le challenge sera de se rattraper pour 2014.

Autre challenge : Samsung semble vouloir s’affranchir de Google le plus possible. Sans surprise, le géant américain fera tout pour l’en empêcher.

Blackberry

Le challenge pour Blackberry en 2014 à ce point est simplement de survivre. Et le fait que la compagnie canadienne soit publique n’aide pas. Ses (piètres) résultats trimestriels ne donnent pas confiance aux clients, ce qui plombe les ventes, ce qui entraîne d’autres piètres résultats trimestriels, renforçant le cercle vicieux. Dernièrement je n’ai vu que des entreprises qui basculaient de BlackBerry à d’autres smartphones (principalement l’iPhone), jamais l’inverse. Que peut faire BlackBerry à part se faire racheter ? A ce point je ne vois pas grande issue de secours.

Cela dit, bonne année 2014 à tous !

Apple et l’après-iPhone

Publié 31 octobre 2013 par lpoulain
Catégories : Apple

Non, je ne pense pas que l’iPhone est un produit bientôt défunt, bien au contraire. Mais il est important pour Apple de préparer la suite – et le plus tôt sera le mieux.

Pourquoi ? Parce que l’iPhone est devenu une telle vache à lait pour Apple que maintenir une telle croissance va devenir de plus en plus dur. Ne parlons pas du cas où l’iPhone enregistre ne serait-ce qu’un faible déclin des ventes.

Car l’iPhone rapporte beaucoup d’argent à Apple. Sur l’année fiscale 2013, l’iPhone a rapporté à Apple $91 milliards, soit plus de la moitié de son chiffre d’affaire, et plus que le chiffre d’affaire total de Microsoft ($78 milliards pour 2013). Si l’on estime que l’iPhone rapporte un montant proportionnel de profit (estimation prudente sachant que l’iPhone est vendu plus cher que l’iPad pour des specs inférieures), cela veut dire qu’il rapporterait dans les $20 milliards de profit – soit quasiment la totalité des profits de Microsoft ($22 milliards)

Au risque de me répéter, le succès de l’iPhone n’est rien d’autre qu’extraordinaire. Si l’on considère le résultat d’exploitation (c’est-à-dire les profits sans les coûts de recherche & développement, marketing, coûts d’infrastructure, etc.), après seulement 5 ans, l’iPhone rapporterait dans les $45 milliards de profits annuel, soit plus que les trois divisions les plus profitables de Microsoft. Les divisions Windows, Serveur & Outils et Entreprise ont en effet rapporté $34 milliards de profits en 2013 – et elles ont mis plus de 20 ans pour devenir ce qu’elles sont !

Cela représente énormément de pression pour un seul produit qui jusqu’à récemment n’était décliné qu’en un modèle unique.

Le contre-exemple de Microsoft

On pourrait argumenter que Microsoft a deux vaches à lait avec Windows et Office depuis 20 ans, et qu’il n’y a donc aucune raison de s’affoler. Mais Microsoft est surtout implanté sur le marché d’entreprise, un marché stable et doté d’une forte inertie (ce qui explique un quasi-monopole sur les deux marché depuis plus de 15 ans). Microsoft peut se permettre de n’ajouter que des améliorations incrémentales à ses deux produits phare. Au contraire, les utilisateurs se révoltent contre de trop gros changements (je prendrais pour exemples Windows Vista et Windows 8)

Redmond a également plusieurs sources de revenus complémentaires. En 2013, la division Windows a vu ses profits diminuer de $2 milliards du fait de la baisse des ventes de PC. Mais la firme de Bill Gates a pu compenser par les autres divisions qui ont augmenté leurs profits (ou diminué les pertes dans certains cas)

La trajectoire non tenable de l’iPhone

Que cela prenne 1 ou 10 ans, il va être de plus en plus difficile d’ébahir les foules avec un nouvel iPhone – et par la même de justifier son prix faramineux.

Contrairement au marché d’entreprise, le marché grand public est fort volatile. L’iPhone bénéficie d’un effet de mode – or la mode est ce qui ce démode. Autant le premier iPhone a révolutionné le marché (et je n’emploie pas ce mot à la légère), autant désormais il devient de plus en plus difficile d’attirer l’attention. Un écran plus grand ? Le Samsung Galaxy en a déjà un. Un processeur plus puissant ? Les smartphones haut de gamme ont déjà des processeurs à quadruple coeur.

Plus les smartphones deviennent une commodité, plus il sera difficile pour Apple de vendre des smartphones à $650 ou plus. Le premier Macintosh était vendu $2500. Le premier iPod $400. Il arrivera un moment où un smartphone à $650 ne sera plus considéré comme acceptable – que ce soit auprès du public ou des opérateurs cellulaires qui subventionnent l’iPhone. Ces derniers sont également un handicap pour la firme à la pomme. Apple aime en effet avoir le contrôle complet sur tous les aspects de ses produits (conception, marketing, distribution). Or pour la distribution il est obligé de composer avec les opérateurs cellulaires qui apprécient de moins en moins ses exigences (aucune customisation possible ni application préinstallée)

Si Apple veut satisfaire Wall Street, il doit maintenir une croissance soutenue (et Tim Cook donne l’impression de se soucier des actionnaires). Pour augmenter les recettes de ventes d’iPhone de 10% il doit trouver $9 milliards supplémentaire l’année prochaine. S’il y arrive, il devra trouver $10 milliards l’année suivante. Et ainsi de suite.

Pire, une éventuelle baisse des ventes d’iPhone pourrait avoir de grosses répercutions sur la compagnie. Quelques pourcentages de baisse sur $91 milliards se traduisent facilement en milliards de dollars de manque à gagner. Et plus l’iPhone accumule les années à succès, plus il sera difficile de remplacer le manque à gagner. Lorsque cela arrivera, Apple aura alors énormément de pression de la part de Wall Street pour trouver ces milliards ailleurs. C’est en général le moment où les compagnies paniquent, se focalisent uniquement sur le court terme, oublient leurs clients et commencent à faire des bêtises – précipitant du coup leur déclin. Hausse des prix, rogner sur la qualité ou sur le service client, etc.

L’iPad comme sauveur ?

C’est là où l’iPad vient à point nommé. Non seulement Apple garde une solide part de marché sur les tablettes 10″, mais il n’est pas autant lié aux opérateurs cellulaires. Et le plus important : sa croissance est semblable à celle de l’iPhone. En 2010, soit 3 ans après son introduction, l’iPhone rapportait $25 milliards à Apple avec 40 millions d’unités vendues. En 2013, 3 ans après sa création, l’iPad en rapporte $32 milliards avec 58 millions d’unités vendues.

Mais l’iPad a également ses challenges. Tout comme l’iPhone, il est menacé de devenir une commodité, la concurrence des tablettes Android se faisant sentir. De même, sa croissance s’est fortement ralentie en 2013. Si le volume des ventes a augmenté de 22%, le CA n’a augmenté que de 3% du fait des ventes de l’iPad Mini.

Une possibilité de croissance pour l’iPad serait de réussir une transformation pour devenir un outil de productivité, le permettant de concurrencer de plus en plus le PC. Mais Apple désire-t-il poursuivre dans cette voie ? La compagnie n’en n’a donné aucune indication pour l’instant.

Autres produits ?

Apple va-t-il introduire des produits d’entrée de gamme pour garder ses parts de marché ? Si l’histoire est un guide, Apple a très rarement été enclin à baisser les prix, même si la concurrence est nettement moins chère. La compagnie vient d’introduire un iPhone 5c « d’entrée de gamme » qui n’est qu’un iPhone d’ancienne génération, en plastique, « généreusement » vendu $100 de moins (600€ contre 700€ en Europe). Et autant l’iPad a été vendu à un prix très compétitif (c’est la première fois que je vois des cas où la concurrence a eu du mal à être moins chère qu’Apple !), autant l’iPad Mini reste fort cher pour une tablette de cette taille. Wall Street a d’ailleurs salué l’augmentation du prix de l’iPad Mini. Dans les deux cas, on a l’impression qu’Apple veut plus éviter de concurrencer ses produits phares que de fournir un bon rapport qualité/prix.

Les Macs ont parfois vu une baisse de leur prix, comme avec l’introduction du Mac Mini, ou les derniers MacBooks dont le prix a diminué. Mais pour ce qui est des produits phare de la compagnie (iPhone et iPad), point de baisse.

C’est pour cette raison que sortir un nouveau produit ne sera pas du luxe. L’Apple TV reste un « hobby » (traduction : ses ventes sont décevantes). Le tassement des ventes d’iPhone tel qu’on le connait arrivera tôt ou tard (à moins qu’Apple arrive à réinventer l’iPhone). Il sera alors trop tard pour lancer un nouveau produit. La firme de Tim Cook doit lancer dés que possible de nouveaux produits afin qu’ils aient le temps d’atteindre une taille de marché suffisante pour contrebalancer une baisse des revenus de l’iPhone.

La question est : Apple est-il capable de créer un nouveau produit à succès sans Steve Jobs ?

Difficulté des projets informatique

Publié 23 octobre 2013 par lpoulain
Catégories : Non classé

Aux Etats-Unis, le site Web de l' »Obamacare » est en pleine tourmente.  Ce site, lancé le 1er octobre, est sensé permettre aux américains de comparer et d’acheter une police d’assurance santé. Au lieu de ça, le site accumule problème sur problème. Performances désastreuses, pannes diverses, incidents techniques à répétition. On parle de 5 millions de lignes de code à réécrire (encore que je ne sais pas d’où vient ce chiffre ni qui l’a sorti). A tel point qu’Obama en personne a reconnu les problèmes.

Mais ce type de désastre est malheureusement loin d’être unique. Les projets informatiques qui tournent à la catastrophe sont légion. De nombreuses études ont été conduites sur le sujet, et si les chiffres peuvent varier d’une étude à l’autre, ils vont tous dans le même sens : nombreux sont les gros projets informatique qui échouent et/ou qui fournissent bien moins que prévu. Ne parlons pas de dépassement de budget.

Il existe de nombreuses raisons à cette triste tendance ; en voici quelques-unes.

1) La programmation n’a fondamentalement pas changé depuis les années 50

Un programme reste un script qui met des valeurs dans des cases, lit des valeurs, compare deux valeurs et peut sauter à d’autres endroit du script si une telle comparaison est vraie ou fausse. Les langages de programmation ont beaucoup évolué depuis COBOL, mais la logique métier continue d’être écrite en suivant ce principe de base (exception faite des langages dits fonctionnels, mais qui ne sont pas encore beaucoup utilisés). La complexité des programmes, elle, a drastiquement augmenté – rendant de plus en plus difficile de garder en tête toutes les pièces mobiles d’un programme. Les changements, quant à eux, sont de plus en plus fréquents, rendant la maintenance d’une application de plus en plus difficile. Il n’est pas rare que le cahier des charges évolue avant même que le projet soit terminé. De nombreuses méthodologies ont été inventées pour tenter de dompter cette complexité, mais pour l’instant personne n’a trouvé la recette miracle.

2) Les décideurs ne sont pas suffisamment impliqués

Pour tout projet, les décideurs ont de nombreux choix à faire, et ces choix ont souvent des implications importantes. Le problème est que les décideurs sont des gens très occupés. Ils ne prennent pas la peine de lire en détail le cahier des charges. Ils peuvent prendre longtemps avant de consacrer 5 minutes pour prendre une décision rapide mais importante. Ou ils ne comprennent pas forcément les implications de leurs choix. Ce qui explique pourquoi tant de projets sont des échecs en dépit du fait qu’ils respectent scrupuleusement le cahier des charges. Il n’est pas rare que les utilisateurs se rendent compte que ce qu’ils avaient demandé ne correspond pas à leur besoin, ou demandent des changements en plein développement qui perturbent grandement l’architecture interne utilisée.

3) Les développeurs ne sont pas des pions interchangeables à volonté

Tout projet qui se respecte se compte en homme/mois ou homme/année. Cela suppose que tous les développeurs sont interchangeables, et que 12 personnes abattent en un mois la même besogne qu’une seule personne en une année. Or rien n’est moins vrai. La loi de Brooks affirme que rajouter des développeurs à un projet en retard ne fait que le retarder d’avantage, du fait du temps gaspillé en meetings pour que tout le monde soit à jour. Quant aux développeurs mêmes, ils sont loin de tous se valoir. La différence entre un développeur médiocre et un développeur star est sans commune mesure. Pas forcément en termes de lignes de codes écrites par jour (il y a une limite à ce qu’un développeur peut écrire par jour) mais en terme de qualité du code produit. Les principes de programmation même sont relativement simples, si bien que quasiment n’importe qui peut développer une application suivant un cahier des charges. Par contre, développer une application qui offre de bonnes performances, qui puisse monter en charge et qui puisse être facilement maintenable n’est pas à la portée de tous. On notera que des compagnies comme Google, Microsoft ou Facebook se battent pour recruter les développeurs les plus talentueux qu’ils peuvent. Pourquoi ? Tout d’abord parce qu’étant éditeurs de logiciel, ils reconnaissent l’importance des développeurs de talent. D’autre part parce qu’une entreprise a une vision différente lorsqu’elle embauche quelqu’un que lorsqu’elle la paye à l’heure pour une durée déterminée.

Pour revenir au site d’Obamacare, l’administration américaine a parlé de « tech surge » pour remédier au problème. Le terme de « surge » a été employé par le passé pour décrire l’envoi de troupes supplémentaires en Iraq en 2007 pour calmer la vague de violence qui frappait le pays – envoi qui a eu un certain succès. Par contre, si le but est de ce « tech surge » est uniquement d’impliquer plus de développeurs, cela pourrait causer plus de problème qu’il n’en résout.

4) Les dates butoir serrées peuvent rallonger le temps de développement

Il n’est pas rare que les délais soient serrés et que la date butoir soit impossible à reculer pour des raisons diverses – comme dans le cas du site d’Obamacare. Que ce passe-t-il lorsque des complications rendent les délais de plus en plus difficiles à respecter ? Les développeurs travaillent plus d’heures par semaine, comme les nuits et les weekends. Ils dorment de moins en moins. En apparence, leur productivité augmente – ils écrivent plus de lignes de code par semaine. Mais en apparence uniquement. Car le cerveau humain a ses limites, et a une fâcheuse tendance à commettre des erreurs lorsqu’il manque de sommeil. C’est là où le nombre de bugs explose. Or un bug prend bien plus de temps à corriger que d’écrire du code « propre ». Pire, c’est là où certains choix malencontreux d’architecture peuvent être pris (là encore du fait du manque de sommeil) – et ces choix sont bien plus difficile à corriger que quelques bugs.

Et c’est justement lorsque les délais sont serrés que les bugs ont le moins de chance d’être détectés. Les tests qualité sont en effet les premiers à être sacrifiés lorsque les délais doivent être respectés à tout prix.

Quelles conséquences ?

Je prendrais pour exemple un projet dont j’ai été personnellement témoin. Dans les années 90, suite au boom Internet, n’importe qui qui le désirait pouvait travailler dans l’informatique. En manque de main d’oeuvre, les sociétés de services (SSII) embauchaient à tour de bras n’importe qui, les formant au lance-pierre – souvent avec des résultats médiocres. J’ai ainsi connu le cas d’un employé d’une SSII, parachuté chez un client pour développer une application en C++. Ce développeur ne savait même pas comment déterminer la version de Windows de sa machine (Windows NT ou 95 à l’époque) ! Il a certes terminé le projet. Le problème est que le logiciel avait des performances si terribles que je ne sais pas s’il n’a jamais été utilisé.

Où sont donc les sociétés de service responsables, qui embauchent du personnel qualifié et qui évitent à leurs clients de commettre des erreurs ? La plupart du temps elles sont éliminées lors de l’appel d’offre. Lorsque le client ne regarde que le prix, cela ne favorise pas les SSII qui veulent embaucher du personnel talentueux et expérimenté. Lorsque la seule autre chose qu’il regarde est le cahier des charges, cela favorise les SSII non scrupuleuses qui vont fournir l’appel d’offre le moins cher possible, et qui vont se rattraper lorsque le client va immanquablement demander des changements au cahier des charges (« Vous voulez changer X, Y et Z ? Ca va vous coûter cher ! « ). Quant à la société de service honnête qui va dire au client que les délais ne sont pas raisonnables, elle n’a que peu de chance d’être écoutée…


Suivre

Recevez les nouvelles publications par mail.