Sommaire
Des défaillances logicielles majeures ont provoqué des pertes humaines et financières importantes. Cette rétrospective rassemble des exemples, des systèmes médicaux aux navires et aux plateformes de trading, où des codes mal interprétés ou des choix de conception non anticipés ont conduit à des dégâts réels.
Surdosages radiologiques causés par le Therac-25 (1985–1987)
Les machines de radiothérapie Therac‑25, développées par Atomic Energy of Canada Limited, ont connu une série de défaillances entraînant au moins six overdoses dans différents hôpitaux. Le logiciel permettait des combinaisons dangereuses de modes d’exploitation lors de frappes rapides sur les touches. À plusieurs occasions, la machine délivrait des doses extrêmement élevées en une fraction de seconde, provoquant des brûlures et des blessures mortelles.
Le premier incident remonte à juin 1985, au Kennestone Regional Oncology Center près de Marietta, dans l’État de Géorgie. Une patiente de 61 ans, en traitement postopératoire, a subi des brûlures si sévères que ses seins ont dû être retirés et son bras droit est devenu inutilisable. Un mois plus tard, une femme de 40 ans à la Ontario Cancer Foundation à Hamilton, au Canada, a reçu jusqu’à 85 fois la dose habituelle lors d’une même séance. En décembre 1985, une patiente au Yakima Valley Memorial Hospital a subi des brûlures radiologiques mais a fini par se rétablir. Malheureusement, les patients des trois cas suivants (à Yakima en 1987 et au East Texas Cancer Center en 1986) n’ont pas survécu.
À l’époque, des mécanismes de sécurité matériels existaient dans des modèles Therac antérieurs, mais ces protections n’étaient pas répliquées dans les Therac-25, qui ne s’appuyaient que sur le logiciel.
Bug de dérive temporelle du système Patriot (1991)
Lors de la guerre du Golfe, le 25 février 1991, un système de défense Patriot à Dhahran, en Arabie Saoudite, a échoué à intercepter un missile Scud irakien. Le projectile a frappé une caserne de l’armée américaine, tuant 28 soldats. Le système avait fonctionné plus de 100 heures d’affilée, révélant un défaut de conversion du temps dans l’ordinateur de contrôle des tirs. Le temps était stocké sous forme d’entier et converti en réel avec une précision de 24 bits, ce qui rendait le calcul du « gate » moins précis au fil du temps. Cette erreur de conversion en virgule flottante a provoqué un décalage de l’horloge du système par une fraction de seconde pendant une utilisation prolongée, ce qui a conduit à viser la mauvaise distance et à manquer l’interception. Des correctifs avaient été déployés quelques jours plus tôt, mais la version corrigée n’est arrivée à Dhahran qu’un jour après l’attaque fatale.
Erreur de logiciel de planification radiothérapeutique au Panama (2000)
Un système de planification de traitement radiothérapeutique (TPS) développé par Multidata Systems International autorisait initialement quatre blocs de radiothérapie. Apparemment, une oncologue souhaitait ajouter un bloc supplémentaire et les médecins ont trouvé une solution en « dessinant » les blocs comme s’il s’agissait d’un seul bloc avec une ouverture centrale. Le programme ne prévenait pas les entrées incorrectes et le personnel a pensé que cela convenait. Or, le calcul de dose réagissait à ce type d’entrée et une légère modification de l’orientation pouvait multiplier la dose recommandée.
Au moment où il est apparu que les patients avaient reçu trop de radiations, il était déjà trop tard. En 2003, 21 patients étaient décédés, 17 en lien avec un surdosage. Des poursuites pénales ont été intentées contre les opérateurs.
Échec du système de dispatch du London Ambulance Service (1992)
Le 26 octobre 1992, le LAS a lancé un système d’envoi assisté par ordinateur destiné à automatiser la prise d’appels, la localisation et l’acheminement des ambulances. Peu après, le système a connu d’importants dysfonctionnements : les appels en attente se perdaient, les messages d’état ne s’actualisaient pas et les répartiteurs avaient du mal à allouer les véhicules. Le système a fini par planter et a nécessité un retour partiel à des procédures manuelles après une journée. Étant donné l’ampleur du réseau et le nombre de véhicules, même ce court épisode a eu des conséquences graves: jusqu’à 46 personnes auraient pu être sauvées si les secours avaient été plus rapides.
Collision du USS John S. McCain avec un pétrolier (2017)
Avant l’aube du 21 août 2017, le destroyer américain USS John S. McCain est entré en collision avec le pétrolier Alnic MC au large de Singapour, dans l’un des couloirs maritimes les plus fréquentés. Le navire a subi un gros trou sur le flanc bâbord et 10 marins sont morts. Des enquêtes du Navy et du NTSB ont révélé que des erreurs de configuration et de contrôle sur le système intégré de passerelle et de navigation avaient précédé la perte de direction quelques minutes avant l’impact. Un an plus tôt, le navire avait été modernisé avec une interface tactile qui centralisait de nombreuses fonctions et compliquait les changements de mode; peu de formation avait été fournie. Juste avant le crash, le contrôle de direction et l’accélération était partagé entre plusieurs postes sans clarté pour l’équipage, et le navire a amorcé une rotation involontaire vers la poupe qui n’a pas pu être corrigée.
Les conclusions ont conduit certains officiers à être accusés d’homicide involontaire et à des démissions; la NTSB a aussi conclu que le design du système tactile augmentait le risque d’erreur. Deux ans plus tard, la Marine a réintroduit des commandes physiques et simplifié les contrôles sur la classe.
Ouverture chaotiques du Terminal 5 de Heathrow (2008)
L’ouverture du Terminal 5, en mars 2008, était présentée comme une opération moderne de traitement des bagages. Malheureusement, le système n’a pas suivi le flux réel des passagers: les ceintures et la logique de tri se sont rapidement déréglementées; le personnel a dû s’adapter et les passagers sont restés bloqués dans les files; les avions sont partis sans bagages correctement chargés. Près de 250 vols ont été annulés dans la première semaine et près de 30 000 sacs ont été stockés en attendant leur redistribution. Le processus a dû se faire manuellement et l’embarras public a été important; British Airways a publié des publicités proclamant que « Terminal 5 fonctionne ».
Chute de Mt. Gox (2011 et 2014)
Parmi les passionnés de cryptomonnaies, Mt. Gox était connue pour deux choses: avoir été à un moment la plus grande place d’échange de bitcoins et pour sa chute catastrophique provoquée par deux déboires logiciels. D’abord, en octobre 2011, une erreur dans la logique de traitement des transactions a créé des sorties invendables: au moins 2 609 bitcoins se retrouvent bloqués à cause d’un défaut de construction de la monnaie; en clair, le code produisait des conditions invalides et les bitcoins ne pouvaient être rendus. Cette perte équivalait à environ 8 000 dollars à l’époque (plus de 315 millions de dollars aujourd’hui).
En février 2014, Mt. Gox annonça avoir perdu environ 850 000 bitcoins suite à un piratage et à des faiblesses internes. Environ 750 000 de ces bitcoins appartenaient à des clients et 100 000 à l’échange. À l’époque, leur valeur totale était estimée à 480 millions de dollars. Le PDG, Marc Karpelès, s’est publiquement excusé et l’entreprise a déposé le bilan au Japon. À la fin du mois, les opérations de Mt. Gox avaient cessé; le mois suivant, la société a retrouvé environ 200 000 bitcoins dans un vieux portefeuille. L’ampleur du manque a nécessité des années de restitution; en août 2025, de nombreux créanciers attendaient encore leurs paiements.
Crash du vol Ethiopian Airlines 302 (2019)
Le 10 mars 2019, le vol 302 d’Ethiopian Airlines, un Boeing 737 MAX 8 à destination de Nairobi, s’est écrasé peu après son décollage de l’aéroport international Bole d’Addis-Abeba. Aucun des 149 passagers et des huit membres d’équipage n’a survécu. L’enquête a montré que l’appareil avait plongé à une vitesse vertigineuse en raison de commandes répétées du système MCAS et d’un dérapage des valeurs d’angle d’attaque peu après le décollage. Le crash a suivi de peu le crash du Lion Air 610 et a conduit à un rappel mondial du modèle. En 2019, le constructeur a reconnu sa responsabilité et a accepté de ne pas attribuer la faute à la compagnie aérienne ou aux pilotes. Le modèle a ensuite reçu des améliorations et a été autorisé à reprendre le service.
Mariner 1 : déviation de trajectoire (1962)
Demandez à quelqu’un de nommer des gadgets spatiaux coûteux qui ont échoué lamentablement et il vous citera probablement le Mariner 1. Conçu pour être la première tentative américaine d’une mission de survol de Vénus, la sonde a été lancée depuis Cape Canaveral le 22 juillet 1962. Quelques instants après son décollage, elle dévie déjà de sa trajectoire. Un ingénieur a utilisé la fonction de détonation à distance et l’a détruite environ 294 secondes après le lancement pour éviter un danger ultérieur. La raison? Outre un défaut lié à l’antenne de guidage, une équation du logiciel manquait une barre horizontale au-dessus du symbole du rayon (R). Ce simple oubli a provoqué une mauvaise prise en compte des variations de vitesse et des corrections de trajectoire erratiques.
Pour mémoire, les médias de l’époque avaient rapporté à tort qu’il s’agissait d’un tiret manquant, alimentant une fausse interprétation sur la cause de l’échec du Mariner 1.