Sommaire
Des catastrophes révélatrices de la vulnérabilité des systèmes
Certaines catastrophes se déroulent lentement, avec des signes d’alerte ignorés pendant des années. D’autres se produisent en un instant, déclenchées par une petite faille dans un vaste système complexe. Ces désastres ne nécessitent ni sabotage, ni invasion, ni négligence—juste une seule ligne de code défectueuse, un capteur mal interprété, ou une limite de feuille de calcul négligée. Dans chaque cas, des milliards de dollars, des vies, ou la réputation nationale dépendaient d’un élément fonctionnant comme prévu.
Voici 10 fois où cela n’a pas été le cas.
10 L’erreur métrique du Mars Climate Orbiter (1999)
L’orbiteur climatique Mars de la NASA faisait partie d’une mission de deux satellites pour étudier le climat martien et les changements de surface. Le vaisseau spatial a été lancé sans problème et a bien fonctionné jusqu’à ce qu’il se prépare à entrer en orbite martienne. C’est alors qu’il s’est approché trop près de la planète, a brûlé dans l’atmosphère et a disparu à jamais. La cause était déconcertamment simple : Lockheed Martin avait transmis des données de performance des propulseurs en livres-seconds, mais les ingénieurs de la NASA ont interprété ces données en newton-secondes. Au fil des mois, ce léger décalage d’unités est devenu une erreur de trajectoire de 106 miles (170 kilomètres).
L’équipe de mission a remarqué des incohérences dans les données de navigation mais les a attribuées à des différences de modélisation bénignes. Une liste de contrôle de transfert de logiciel n’a pas clarifié les unités. Il n’y avait pas de dépôt de code unifié ni de validation des données au niveau système. Cette perte expose la fragilité des missions spatiales lorsque différents sous-traitants utilisent des normes incohérentes. Une simple conversion—un facteur de multiplication qui n’a jamais eu lieu—était suffisante pour anéantir une mission de 125 millions de dollars construite pendant des années par des centaines d’ingénieurs.
9 Un certificat expiré fait tomber Facebook, Instagram et WhatsApp (2021)
Le 4 octobre 2021, des milliards d’utilisateurs ont découvert qu’ils ne pouvaient pas rafraîchir Facebook, envoyer un message WhatsApp ou même se connecter à leurs casques Oculus. En interne, les ingénieurs de Facebook ne pouvaient pas communiquer via les outils de l’entreprise ni même utiliser leurs badges d’identification pour entrer dans les bâtiments. La cause principale était une mauvaise configuration lors d’une maintenance de routine qui a entraîné le retrait des routes BGP (Border Gateway Protocol) de Facebook, supprimant ainsi la présence de Facebook sur Internet. Les serveurs DNS étaient introuvables et sans DNS, chaque service possédé par Facebook—Messenger, Instagram, Workplace—était inaccessible.
Cependant, la catastrophe s’est aggravée car les systèmes d’accès étaient liés à la même infrastructure. Les ingénieurs ne pouvaient pas atteindre les serveurs capables de restaurer l’accès, car les outils nécessaires au diagnostic étaient hors ligne. Il n’y avait pas de système de secours indépendant pour l’accès physique ou de récupération hors bande pour les mises à jour DNS. L’entreprise avait construit un réseau mondial à grande vitesse optimisé pour le contrôle interne, mais n’avait plus de chemin fiable pour revenir dans son propre cerveau lorsque quelque chose tournait mal.
8 Le grand blackout du Nord-Est (2003)
Le 14 août 2003, les centrales électriques du Nord-Est des États-Unis et de certaines parties du Canada se sont éteintes, affectant 55 millions de personnes. Le blackout a commencé avec un seul arbre envahissant dans l’Ohio, qui a touché une ligne de transmission et causé son arrêt. Normalement, le réseau compense en redirigeant l’électricité, mais le logiciel de surveillance de FirstEnergy a échoué à alerter les opérateurs que le réseau devenait instable. Les lignes surchargées ont commencé à fléchir vers d’autres arbres et se sont arrêtées une à une. Le blackout s’est étendu du Michigan à New York en moins de deux heures.
Ce n’était pas seulement l’électricité qui a échoué : les systèmes d’égouts, les usines de traitement des eaux, les aéroports, les feux tricolores et les métros ont cessé de fonctionner. Des villes comme Cleveland ont perdu la pression de l’eau. Toronto a été paralysée. New York a dû évacuer les tunnels de métro dans l’obscurité. Bien que le réseau ait été construit avec des redondances, toutes dépendaient d’un retour d’information en temps réel des opérateurs. Ce seul système d’alerte défectueux—un point de défaillance négligé dans la boucle humain-machine—a permis à un événement évitable de se développer en le pire blackout de l’histoire de l’Amérique du Nord.
7 La migration informatique ratée de TSB (2018)
Lorsque la banque britannique TSB s’est séparée de sa société mère, Lloyds Banking Group, elle a prévu de migrer 1,3 milliard de dossiers vers un nouveau système informatique géré par son propriétaire espagnol, Sabadell. La banque a arrêté ses systèmes pendant un week-end et a commencé la transition. Mais lorsque les services ont redémarré, le chaos s’est installé. Les clients ont trouvé des soldes à zéro, des paiements disparus, des comptes verrouillés, et, dans certains cas, un accès aux données d’autres personnes. Les files d’attente dans les agences débordaient dans les rues, et le support téléphonique a été submergé par l’afflux.
Le problème sous-jacent était un décalage entre la manière dont les champs de données existants étaient structurés et la façon dont la nouvelle plateforme les interprétait — une logique de mappage des données défectueuse enfouie dans le script de migration. Le système avait réussi des pré-tests internes, mais ceux-ci n’avaient pas simulé des charges réelles complètes ou des comportements de cas extrêmes. Une fois les erreurs survenues, la récupération a été entravée par un manque d’options de retour en arrière et des journaux d’audit incomplets. La banque avait attaché son identité numérique entière à un transfert fragile, et quand cela a échoué, la confiance des clients, la confiance des investisseurs et la bonne volonté réglementaire se sont également écroulées.
6 La panne d’Amazon S3 à cause d’une erreur typographique (2017)
Amazon Web Services S3 (Simple Storage Service) est utilisé par des millions d’entreprises pour stocker des images, des fichiers et des services web de backend. En février 2017, un technicien tentant de déboguer le système de facturation a émis une commande destinée à retirer un petit nombre de serveurs, mais au lieu de cela, le script a accidentellement retiré un ensemble beaucoup plus grand, y compris un serveur d’index critique pour tout le système S3 dans la région des États-Unis Est 1. Cette seule suppression a effacé l’accès aux données de localisation et de métadonnées pour les objets S3 à travers des centaines de sites majeurs.
Trello, Slack, Netflix, Giphy, Medium, et même des parties du tableau de bord de santé de service d’AWS se sont assombris. Les outils de surveillance ont échoué parce qu’ils dépendaient eux-mêmes de S3. Les clients ne pouvaient même pas vérifier la page d’état d’AWS pour déterminer ce qui se passait. AWS avait construit une infrastructure robuste avec redondance entre les zones, mais pas à l’intérieur du plan de contrôle principal, qui n’avait pas de protections contre les erreurs d’opérateur. Cette seule commande interne mal tapée—introduite dans un terminal avec accès root—s’est traduite par l’effondrement d’un segment d’Internet durant quatre heures.
5 Une cellule de feuille de calcul qui a coulé une entreprise de trading d’un milliard de dollars (2012)
Knight Capital Group était un acteur majeur sur les marchés boursiers américains, responsable d’environ 10 % de tout le volume de transactions à l’époque. En août 2012, la société a déployé un nouvel algorithme de trading, mais un ancien drapeau logiciel inutilisé a été par inadvertance réactivé dans le code en direct. Cela s’est produit parce que les ingénieurs ont réutilisé des modules de code anciens sans désactiver correctement une fonctionnalité de test appelée "Power Peg", qui a commencé à envoyer des ordres boursiers erronés à une vitesse fulgurante à travers des dizaines d’échanges. En seulement 45 minutes, Knight a perdu 440 millions de dollars, provoquant d’énormes fluctuations de prix dans 148 actions.
La cause ? Une seule variable dans un fichier de configuration similaire à une feuille de calcul qui n’avait pas été mise à jour correctement sur un serveur sur huit. Cette machine continuait à diffuser des ordres d’achat agressifs sans limite. D’autres systèmes ne pouvaient pas la reconnaître comme défectueuse parce qu’elle ne plantait pas—elle fonctionnait simplement catastrophiquement mal. L’entreprise n’avait pas de général pour intercepter les transactions incontrôlées et ne pouvait pas passer rapidement en mode override. Au moment où ils ont arrêté les transactions, Knight avait effacé un tiers de sa valeur boursière et scellé son destin en tant qu’entreprise indépendante.
4 Le scandale d’accélération involontaire de Toyota (2009–2010)
À la fin de 2009, des véhicules Toyota ont commencé à être liés à une série d’accidents causés par une accélération involontaire. Initialement blâmée sur les tapis de sol et les pédales collantes, la cause plus profonde est apparue dans certains modèles : un défaut dans le système de contrôle électronique de l’accélérateur qui pouvait, dans certaines conditions électriques, maintenir l’accélérateur ouvert sans un moyen clair de contrôle pour le conducteur. Il n’y avait plus de liaison mécanique—les surpresseurs de frein étaient incohérents entre les modèles, et les mécanismes de sécurité redondants n’étaient pas mis en œuvre de manière universelle.
L’exemple le plus saisissant était un appel 911 tragique effectué par un policier en congé en Californie dont le Lexus a accéléré de manière incontrôlée et a provoqué l’accident, tuant quatre personnes. Les enquêtes ont révélé que les ingénieurs de Toyota avaient ignoré ou minimisé les risques liés aux logiciels pendant des années, et la société avait précédemment réglé des plaintes similaires en silence. Lorsque la NASA a analysé le code, elle a découvert qu’il était mal structuré, difficile à tester et manquait de redondances robustes. La vulnérabilité du système électronique était intégrée dans l’architecture, ce qui signifie que la défaillance d’un seul signal de capteur ou d’un chemin logique pouvait entraîner une accélération fatale.
3 Un capteur mal câblé qui a fait tomber un avion (2009)
Le vol 447 d’Air France a disparu au-dessus de l’Atlantique en 2009 lors d’un trajet de Rio à Paris. Dans l’enquête qui a suivi, les données des boîtes noires ont révélé que les tubes pitot du jet, de petits capteurs utilisés pour mesurer la vitesse aérienne, étaient gelés pendant un orage. Cela a déclenché des données contradictoires qui ont causé la déconnexion du pilote automatique. Les pilotes, incertains de leur vitesse et altitude réelles, ont réagi en levant le nez, croyant à tort que l’avion descendait trop rapidement. Ils ont alors laissé l’appareil stagner à 38 000 pieds et n’ont jamais pu récupérer.
L’Airbus A330 avait plusieurs systèmes en place pour gérer les défaillances d’équipement, mais ces systèmes s’appuyaient sur des entrées de capteurs correctes. Lorsque les trois tubes pitot ont gelé simultanément, la redondance a échoué. Plus critique, les pilotes n’avaient pas été correctement formés pour ce type de perte de contrôle à haute altitude, surtout celle déclenchée par des données de vol contradictoires. À ce moment, le sort de l’avion dépendait de la bonne fonctionnalité de trois petits tubes par temps froid. Ils ont échoué—et 228 vies ont été perdues parce qu’il n’y avait pas de plan de secours significatif.
2 Une mauvaise formule Excel qui a caché une pandémie (2020)
En septembre 2020, Public Health England utilisait Microsoft Excel pour suivre les résultats des tests COVID-19, important des mises à jour quotidiennes des laboratoires dans une feuille de calcul centrale. Cependant, la feuille de calcul a été enregistrée dans le format .XLS obsolète, avec une limite fixe de 65 536 lignes. Une fois ce nombre dépassé, de nouveaux résultats de tests étaient silencieusement abandonnés—ce qui signifie près de 16 000 cas positifs n’ont jamais été transmis aux agents de traçage. Pendant des jours, des personnes potentiellement infectées ont circulé sans le savoir, propageant le virus pendant que les autorités sanitaires locales travaillaient avec des données incomplètes.
Le problème n’était ni un test défectueux, ni une cyberattaque, ni un serveur défaillant — c’était un format de fichier obsolète toujours utilisé en pleine crise nationale. L’équipe responsable n’avait pas d’alertes automatiques lorsque des données étaient perdues, et le système n’avait pas été examiné par des professionnels de l’informatique avant son déploiement. Au final, la réponse du pays à la pandémie a été handicapée par une limite logicielle qui avait été documentée publiquement depuis 1987, et personne n’a vérifié si elle s’appliquait à leur cas d’utilisation.
1 La catastrophe de l’O-ring du Challenger (1986)
La navette spatiale Challenger s’est désintégrée 73 secondes après son lancement, tuant les sept astronautes à bord. La catastrophe a été causée par la défaillance d’un joint torique sur l’un des boosters à propergol solide. Les températures ce matin-là étaient anormalement froides—en dessous de la tolérance testée du joint torique—et les ingénieurs de l’entrepreneur Morton Thiokol avaient averti que le caoutchouc pouvait durcir et ne pas sceller correctement l’articulation. La NASA, sous pression pour maintenir son calendrier de lancement et faisant face à une mission médiatisée, a ignoré l’avertissement et a avancé dans le lancement.
Lorsque la navette a été lancée, le joint torique du booster droit n’a pas réussi à s’étendre suffisamment rapidement pour sceller les gaz chauds à l’intérieur. Des flammes s’échappèrent, enflammant le réservoir de carburant externe et détruisant la navette devant un public national en direct. Les enquêtes ont révélé que le problème du joint torique était déjà connu en interne, les ingénieurs l’ayant signalé dans des mémos antérieurs. La sécurité de l’ensemble du véhicule avait été laissée à la performance d’un joint en caoutchouc de la taille d’un bracelet, et lorsque cette seule pièce a échoué, le programme spatial le plus ambitieux de la Terre a également échoué.
