La tête dans les nuages mais les pieds sur terre

Classé dans : Libres Logiciels | 12

Nicholas T - CC byGMail, Google Apps, Zoho, Flickr, Del.icio.us, Box.net, Wuala, DropBox, Plaxo… Ça vous parle ? Vous savez, ces applications en ligne (ou Web Apps) pratiques et séduisantes qui poussent comme des champignons aux quatre coins de la Toile, souvent accompagnées de la mention beta pour faire hi-tech. On a même trouvé un terme pour englober tout ce petit monde, le très à la mode Cloud Computing, soit l’informatique dans les nuages ou dématérialisée[1].

Que celui qui n’a pas un compte chez l’un de ces services en ligne me jette la première pierre. Reconnaissons qu’il est fort commode, notamment pour qui travaille sur plusieurs postes ou de façon nomade, de pouvoir accéder à ses courriels, à ses documents et à certaines données depuis n’importe quel PC (voire téléphone mobile) à condition de disposer d’une connexion Internet.

Mais n’est-on pas en droit de s’inquiéter de savoir que tant de nos données se baladent on ne sait trop où dans l’espace virtuel ? Plaxo, par exemple, avait été critiqué à ses débuts car assez porté sur le spam et l’exploitation peu scrupuleuse des carnets d’adresses qu’on lui confiait (même si ce service a depuis redressé la barre). Quid des documents créés avec Google Docs, des fichiers conservés chez Box.net, des mails échangés avec GMail ? De plus en plus de grands groupes ou de start-ups se lancent sur ce marché apparemment juteux et se battent pour posséder nos données.

Il y a quelque temps déjà, plusieurs voix s’élevaient contre contre ces services en ligne : Larry Ellison, le fondateur d’Oracle, qualifiait le Cloud Computing de mode, et Richard Stallman, dans un entretien accordé au quotidien anglais The Guardian, allait plus loin en taxant ces services en ligne de pièges. Stallman mettait en garde les utilisateurs contre ces Web Apps et le stockage de données personnelles sur les serveurs d’entreprises commerciales : selon lui, confier ses données à de tels services revient à en perdre le contrôle et pose donc les mêmes problèmes que l’utilisation des logiciels propriétaires.

Stallman, qui n’a pas l’habitude de faire dans la nuance, recommandait donc de n’utiliser aucun de ses services et de leur préférer nos bonnes vieilles applis en dur sur lesquelles nous gardons tout contrôle. (Nul doute qu’il pensait par là à la Framakey…)

Tim O’Reilly, dans son blog, s’est lui aussi penché sur la question et a publié un billet assez fourni, dans lequel il estime qu’il faudrait appliquer au Cloud Computing les principes de l’Open Source et rappelle qu’il avait déjà mis en garde contre le verrouillage du Web, pourtant basé sur des programmes et outils Open Source, par des applications Web 2.0.

Cette question de la confidentialité, du contrôle des données et de l’indépendance de l’utilisateur face au logiciel concerne tous ceux qui ont un usage intensif du Web et de l’outil informatique, mais semble cruciale pour les adeptes du logiciel libre, très sensibles à ces questions. Comme dans le software classique, certains acteurs du Cloud Computing proposent des solutions libres. C’est le cas de Clipperz, qui a développé un gestionnaire de mots de passe et d’informations personnelles sous licence GPL.

Sur le blog de Clipperz , un des auteurs appelle les utilisateurs et les développeurs à agir pour préserver la liberté et la confidentialité dans les nuages, et propose quelques mesures pour que les applications Web 2.0 soient en accord avec les valeurs du libre, du point de vue des licences et du comportements des navigateurs Internet par exemple. On y retrouve par billet interposé Richard Stallman, avec qui l’auteur s’est entretenu et qui y va lui aussi de ses conseils.

Histoire de redescendre un peu sur terre après tant de temps passé dans les nuages, nous vous présentons donc la traduction de ce billet, réalisée par notre équipe Framalang.

Liberté et protection de la vie privée en ligne : agissez !

Freedom and Privacy in the Cloud – a call for action

Marco – 30 mai 2008 – Clipperz
(Traduction Framalang : Olivier, Burbumpa et Don Rico)

Ce message traite de la liberté. La liberté de posséder vos données et la liberté d’utiliser des logiciels libres. Vous devriez aussi pouvoir exiger ces libertés et en jouir quand vous utilisez des applications web.

Si vous soutenez le mouvement du logiciel libre, vous pouvez facilement opter pour Gimp au lieu de Photoshop, pour Firefox au lieu d’Internet Explorer. Vous pouvez également protéger le caractère privé de vos données en utilisant les outils de cryptage disponibles (GPG, TrueCrypt…). Mais dès qu’il s’agit d’applications web, tout se complique.

Les avantages des applications web – ou web apps – (accessibles partout et tout le temps, mises à jour transparentes, stockage fiable, …) sont nombreux, mais bien souvent les utilisateurs perdent la liberté d’étudier, de modifier et de discuter du code source qui fait tourner ces web apps.

De plus, nous sommes contraints de confier nos données aux fournisseurs de ces web apps (marque-pages, documents rédigés, copies des discussions, informations financières et désormais… dossiers médicaux) qui ne résident alors plus sur nos disques durs mais qui sont rangés quelque part dans les nuages. Ce n’est pas vraiment une situation confortable de devoir choisir entre aspect pratique et liberté.

Que l’on soit clair : les web apps sont formidables et je les adore. Mais je pense que le moment est venu de réclamer plus de liberté et de confidentialité. Voilà comment nous pouvons obtenir ces deux résultats en trois étapes.

1. Choisissez l’AGPL

Quelle est l’importance de l’AGPL ? Si vous êtes un fournisseur de services et que vos services s’appuient sur des logiciels placés sous licence AGPL, vous devez rendre le code source disponible à toute personne utilisant ce service. La FSF suggère dans ses directives de placer un lien Source qui renvoie à une archive contenant le code source directement dans l’interface de l’application web.

(Ne me demandez pas pourquoi la communauté des logiciels libres a mis tant de temps à réagir !)

Mesures
  • Aider Clipperz à mettre au point une suite AGPL : un ensemble d’applications web répondant aux besoins les plus courants.
  • Cette suite devrait comprendre : un traitement de texte, un logiciel de discussion, un gestionnaire de mots de passe, un carnet d’adresses, un pense-bête, un calendrier, un gestionnaire de marque-pages … Et chaque web app devra être soumise à la licence AGPL ! Vous pourrez alors oublier Google, del.icio.us, Plaxo, Meebo … à moins qu’ils ne se mettent à l’AGPL aussi.
  • Nous avons déjà deux candidats pour certains postes (Ajax Chat pour les discussions en ligne et, bien sûr, Clipperz pour le gestionnaire de mots de passe), mais la plupart des places sont encore à pourvoir !
  • Aider Clipperz à diffuser les bienfaits de l’AGPL auprès des développeurs de projets web open-source. Demandez-leur de se convertir à l’AGPL.

2. Ajoutez-y une pointe de divulgation nulle de données

Les développeurs Web, comme les utilisateurs, connaissent encore assez peu les possibilités offertes par le chiffrage via un navigateur pour rendre les applications web aussi sécurisées et confidentielles que les logiciels classiques.

Chez Clipperz, nous voulons apporter une nouvelle vision que nous appelons les web apps à divulgation nulle de données (description plus détaillée ici) qui associe l’idée d’un hébergement auquel même l’hébergeur n’a pas accès et un ensemble de règles basées sur le credo confidentialité absolue.

Ce nom est aussi bien un hommage au chiffrage (une garantie de divulgation nulle de données est un protocole de chiffrage standard) que la promesse d’une relation particulière entre l’utilisateur et le fournisseur d’application. Le serveur hébergeant la web app peut ne rien savoir sur ses utilisateurs, pas même leurs identifiants ! Clipperz applique cette vision pour mettre en œuvre son gestionnaire de mots de passe en ligne.

Mesures
  • Appliquer les techniques divulgation nulle de données à chaque composant de la suite AGPL. Convertir une application web à l’architecture divulgation nulle n’est pas simple, mais chez Clipperz nous avons développé un savoir-faire important et nous serons heureux de partager aussi bien ces connaissances que le code de base.

Nous pourrons ainsi finalement jouir d’un traitement de texte en ligne qui ne pourra pas lire nos documents, un logiciel de discussion qui n’enregistrera pas nos conversations, un wiki sur lequel on pourra conserver sans crainte des données importantes, etc.

  • Établir et maintenir à jour une liste des Fournisseurs de Service d’Application (NdT : ASP pour Application Service Provider en anglais) qui hébergent la suite complète sous AGPL. Cette référence sera utile à tous ceux qui attachent de l’importance aux logiciels libres et à la confidentialité mais ne possèdent pas les compétences et les ressources pour faire tourner des web apps sur leur propre serveur.

3. Créer un navigateur plus intelligent

On y est presque, mais il nous reste encore à fournir aux utilisateurs de web apps un environnement encore plus flexible et sécurisé. Dans la pratique, du fait de l’architecture des web apps à divulgation nulle de données, le serveur réalise de façon générale les tâches suivantes :

  • charger le code Javascript dans le navigateur de l’utilisateur (charger le programme) ;
  • authentifier l’utilisateur (optionnel et par un protocole à divulgation nulle de données)
  • rapatrier et stocker les données chiffrées demandées par le navigateur de l’utilisateur.

Logiciel libre est synonyme de contrôle total de ce qui se passe sur mon ordinateur. Se posent alors deux questions :

  • Comment faire tourner une version modifiée du code Javascript à la place de celui chargé par le serveur ?
  • Comment être alerté des modifications apportées au code Javascript que le serveur envoie à mon navigateur ?

J’ai récemment eu l’immense honneur d’échanger mes idées avec Richard Stallman lui-même au sujet de ces problèmes, et il a suggéré une solution futée pour les résoudre tous les deux.

Stallman propose d’ajouter une fonctionnalité au navigateur qui permette à l’utilisateur de dire : « Quand tu charges l’URL X, utilise le code Javascript de l’URL Y comme s’il venait de l’URL X ». Si l’utilisateur fait appel à cette fonctionnalité, il peut utiliser sa propre copie du code Javascript et peut toujours échanger des données avec le serveur hébergeant l’application web.

Un navigateur possédant cette capacité pourrait aussi facilement vérifier si le script Java de l’URL X est différent du script Java sauvegardé à l’URL Y. Si l’utilisateur fait confiance à la version courante du code Javascript de l’URL X, il peut en faire une copie à l’URL Y et sera ainsi alerté de tout changement. Cette solution protège l’utilisateur du code malveillant qu’il pourrait exécuter sans le savoir dans son navigateur, du code qui pourrait voler ses données et détruire l’architecture à divulgation nulle d’information.

Mesures :
  • Écrire des extensions pour les principaux navigateurs libres (Mozilla, Webkit, …) qui mettent en œuvre l’idée de Stallman.

Militer pour l’adjonction de la "suite AGPL" et des navigateurs améliorés pré-cités dans les distributions GNU/Linux.

  • Continuez à lire ce blog où je posterai de nouveaux articles régulièrement.
  • Faites-moi part de vos commentaires et suggestions.
  • Faites passez le message au travers de vos blogs, de vos messages sur les forums, …
  • Faites un don.

Et le meilleur pour la fin : comment nommeriez-vous cet ambitieux projet ? Faites-moi part de vos idées dans les commentaires !

Notes

[1] Crédit photo : Nicholas T (Creative Commons By)

12 Réponses

  1. Depuis quelques années, la vie digitale prend de plus en plus d’ampleur. Et la quantité d’informations sur une personne qui peut circuler sur Internet peut atteindre un niveau très élevé, et dangereux aussi. Je suis un peu inquiet de savoir par exemple que mes documents, mes carnets d’adresses, mes photos se baladent un peu n’importe où et que des personnes peu scrupuleuses puissent les visualiser. Les informations privées sont une mine d’or pour beaucoup de sociétés : étudier; tracer, tout savoir sur les gens… Il y a de vraies stratégies commerciales derrière tout ça, et certains n’imaginent même pas que des services de marketing font appel à de véritables psychologues pour dresser le profil d’une personne suivant ses habitudes en ligne.

    Il existe des logiciels pour défendre votre vie privée, et tout le monde se doit de les utiliser. Mais tout le monde s’en fiche, on me prend pour un parano si je parle de GPG à un contact…

  2. Très bon article. Moi qui m’intéresse pourtant depuis longtemps au logiciel libre malgrès mon jeune âge. (Comparé au vieux barbus qu’on vois souvent dans ce monde obscure :p) je ne connaissais pas l’existence de cette licence. En effet, je travaille actuellement sur la conception d’une Web Apps permettant la gestion en ligne de liste de cadeaux. (Le nom n’est pas encore défini mais un nom temporaire est WebGiftList) A la base c’était un truc tout simple pour ma famille et moi mais j’en fait actuellement une véritable Web Apps avec abonnement aux listes des amis/familles/etc. Je comptais proposer une inscription en ligne sans installation, et une version téléchargeable sous GPL. Du coup… Je vais très probablement regarder du coté de l’AGPL et voir sur le site de Clipperz si je peux inscrire ma futur appli dans cette ensemble de Web Apps libre !

  3. Les données privées ! C’est de l’or pur raffiné pour tous les sites. Pour quelle raison ? vous connaitre et surtout vous vendre (dans les deux sens du terme): vous, des produits et de la pub susceptibles de vous intéresser. Nos données sont comme les adresses postales d’autrefois ou la fameuse ménagère de moins de 50 ans: croiser les informations pour vous "profiler".

    Regardez les sites sociaux, leur business modèle est quasi exclusivement basé dessus! Regardez google ad, il vous met de la pub en fonction de mots clés sur le site (la "pub intelligente") En stockant nos données "dans les nuages" nous donnons accès consciemment, inconsciemment à tout un tas d’informations qui sans aller jusqu’au piratage de projets, indiquent clairement par une recherche de mots clés ce qui nous intéresse.

    Pour une société commerciale, utiliser des serveurs qui ne retiennent aucune information cela me semble paradoxal.

    Donc pour moi, il y a urgence à redonner la responsabilité de ces informations aux personnes qui devaient la conserver et ne jamais s’en dessaisir : nous ! Apprenons donc plutôt à lire les CGV des sites commerciaux, et les conditions d’utilisations des sites non commerciaux. Cela nous fera grandement avancer. (un site qui ne stipule pas que vos données resteront strictement confidentielles et ne seront jamais communiquées à qui que ce soit, les communiquera tôt ou tard tant vos informations ont de la valeur)

  4. je ne connais pas l’AGPL mais c’est bon à savoir! pour ma part j’ai monté mon propre serveur dédié (avec un os libre et des outils libre) me permettant de répondre à mes besoins professionnels… Mon employeur est trés interessé pour récupérer tout un tas d’informations sur mes activités (sans l’avoué ofcourse) et mes documents produit… du coup c’est tres mal vue de monter son propre serveur avec ses propres services surtout quand tout cela passe par un tunel ssh ou pire un vpn en ipsec. J’ai bataillé des semaines pour pouvoir obtenir l’ouverture d’un port histoire de faire passer mon ssh.

    Le réel frein reste la connaissance pour pouvoir mettre en place tout cela seul… toutes les formations que je demande au sujet des logiciels libre sont systématiquement refusé :/

    Sur mon serveur j’ai une partition particulière pour tout se qui touche aux log et elle est crypté! une rotation est faite automatiquement etc etc tout ne marche pas encore comme sur des roulettes: la route est longue mais le chemin est libre.

    Pour information je travail à l’éducation nationale et la mise en place des ENT cible particulièrement la récupération de tout un tas d’informations à l’inssu des utilisateurs….

  5. "(Nul doute qu’il pensait par là à la Framakey…)"

    Certes… Mais cela demande de disposer de Windows. Donc, pour se passer d’applications en ligne propriétaires pour une "vie nomade", il faudrait compter sur un OS propriétaire. Cela me paraît quelque peu paradoxal.

    Nous ne tenons pas encore la solution miracle. J’avoue être largement passé aux web apps pour leur confort d’utilisation. Concernant les données, n’oublions pas que dans la majorité des cas (hormis pour le mail), on ne donne à ces applications que ce qu’on veut bien leur donner. Je pense par exemple aux réseaux sociaux.

    Il existe EyeOS en libre pour conccurencer en partie les Google Apps mais le résultat, même s’il est trés intéressant, est encore loin de les égaler.

  6. nunuche

    Sauf que: les entreprises qui investissement massivement dans le méchant cloud machin n’ont strictement aucun intérêt à nous fliquer, ou alors pour des raisons publicitaires, c’est à dire, de façon pas tout à fait anonymes mais, compte tenu des énormes flux, acceptable. J’ai l’impression que bien souvent nous nous trompons de cible: ce n’est pas une affaire de technologie mais de climat politique, ce qui fait que sous une dictature vos lettres sont lues. Alors j’ai l’impression que c’est pas vraiment le fait que google possède sur ses serveurs toutes nos bafouilles totalement indispensables qui soit le sujet principal, car google ou les colis de la poste, ça change pas tant que ça le problème. Non, il me semble qu’il vaut mieux s’intéresser à des projets gouvernementaux bien réels visant à garder une trace de toutes nos interactions virtuelles, ou aux entreprises qui tiennent à voir leur employés sur facebook, parce que c’est moderne et sexy ( comprendre: un excellent moyen d’asservir avec le sourire ). Ces traces existent, ces réseaux aussi, et il y a aussi des gens qui marchent dans les rues tandis que d’autre les filment ou les prennent en photo. C’est à ceux là, à ceux qui ont un intérêt à nous connaitre, et pas pour nous vendre une casserole, que je pense en priorité. pardon si je me trompe de sujet.

  7. @Kaneda : je suis d’accord avec toi, mais c’était juste un petit clin d’œil sympathique pour pour placer la Framakey dans le billet. 😉
    Cela dit, quand on se balade sans son propre portable ou ultraportable, on tombe hélas rarement sur une machine qui tourne sous Linux… ou alors, comme l’évoque cemoi dans son commentaire, il faut disposer de son serveur dédié…
    J’utilise moi aussi pas mal de web apps, surtout gmail et dropbox, qui me permettent de disposer de toutes les infos dont j’ai besoin où que j’aille.
    Mais étant enfin parvenu à passer au 100% libre sur mes postes de travail, même pour mon métier, ça me chagrine de devoir recourir à des applis en ligne qui reproduisent les schémas des logiciels proprios que j’ai abandonnés !
    C’est pour cette raison que les pistes proposées par le gars de Clipperz, Stallman et O’Reilly sont intéressantes.

  8. @Don Rico : c’était plus une constatation qu’une remarque. 😉 J’en profite pour louer les mérites de la Framakey, mon poste au travail étant sous Windows… Malgré mes nombreuses protestations !

  9. Manuel

    De toute façon le terme "logiciel libre" ne vaut que pour les programmeurs, le commun des mortels ne verra jamais la différence car la seule chose qui définie un logiciel libre est la libre distribution de son code source, ni plus ni moins, on peut très bien vendre un logiciel libre (en général en proposant un service derrière) comme distribuer gratos du propriétaire.
    C’est pourquoi Linux reste minoritaire pour le grand public et peine à dépasser les 1% d’utilisateurs.
    Un fait, ça n’apporte rien de plus au quotidien, la sécurité ? La souplesse ? Windows s’est considérablement amélioré là dessus et si Mac os n’a jamais de virus c’est parce qu’il n’est pas utilisé par 90% des utilisateurs, on verra si apple depasse les 20-30% s’il est toujours aussi sûr.
    Ce qui compte dans l’informatique pour le commun des mortels c’est l’application et pas l’enrobage et pour le coup Windows ou Mac Os disposent de tout ce qu’il faut (logiciels propriétaires ET libres). Je ne fais pas de procès d’intention, c’est juste un constat. Alors après sur les application web (vu que c’est le propos ici), c’est le même problème, les grosses boîtes ont les moyens de mettre à disposition des outils finis, et même libres pour le coup. (voir premier paragraphe).
    Après ce qui change ce sont les intentions, mais n’allez pas croire que les logiciels libres sont fait pas des associations philantropiques, Google finance la Fondation Mozilla (Firefox, Thunderbird etc…), c’est un amalgame que l’on fait trop souvent.

    Nul intention de troller, j’ai moi même une ubuntu en dual boot, ça fait 4 ans que j’ai commencé à installer des distribution linux sur mon pc, mais bon je suis pas devenu un intégriste du libre pour autant car mon utilisation n’est pas entièrement satisfaite par Ubuntu.

    l’O.S n’est pas une fin en soit, l’application si.

  10. >De toute façon le terme "logiciel libre" ne vaut que pour les programmeurs, le commun des mortels ne verra jamais la différence car la seule chose qui définie un logiciel libre est la libre distribution de son code source, ni plus ni moins, on peut très bien vendre un logiciel libre (en général en proposant un service derrière) comme distribuer gratos du propriétaire.

    *Tousse*

    Regardes en haut de la page, juste sous le gros titre "Framablog", stp.

    >l’O.S n’est pas une fin en soit, l’application si.

    *Manque carrément de s’étouffer*

    Un application n’est rien de plus qu’un OUTIL, un objet pour réaliser une tâche. Même un jeu video n’est qu’un outil pour s’amuser et non une fin en lui-même… (hormis une part d’esthétisme, sans doute)

    De plus, si pour toi la différence entre une application (que tu assimiles à sa GUI, j’imagine) et l’OS est nette, trifouilles en peu plus ton OS. Tu auras de plus en plus de mal à voir une différence.

  11. Manuel

    L’informatique est un outil, il est ce que les gens en font, dis moi juste ce qu’on peut faire de plus avec Linux qui n’est pas possible de faire sous windows ou mac Os.

    La plupart des gens se foutent complètement de comment ça marche derrière, on dirait un de ces artistes qui fait de l’art pour l’art.
    Et pour ta gouverne je sais qu’un logiciel ne se limite pas à sa Gui (déjà ce terme est du chinois pour quelqu’un qui n’y connaîtrai rien), j’utilise du pc depuis quinze ans et le couple ms dos 6.22/windows 3 (qui n’était donc qu’un GUI en quelque sorte).
    C’est un peu le souci de la communauté linux, s’enfermer dans une conception "idéalisé" de l’informatique, un peu comme des marxistes qui pensent avoir plus raison que les autres mais n’arrivent jamais à s’entendre entre eux xD.

  12. Manuel

    D’ailleurs heureusement que Canonical est arrivé avec la distribution Ubuntu pour donner une impulsion plus grand public et une harmonisation logicielle, sans ça on en serait encore à un truc fait par les geeks pour les geeks. (même si j’aime bien l’open suse aussi).
    Il y a encore du chemin à faire, et d’ailleurs cet article montre bien le problème qui existe par rapport aux logiciels web propriétaires.
    Paradoxalement au moment où linux prend (relativement) de l’importance en tant qu’os alternatif c’est le web qui devient de plus en plus fermé par les grosses boîtes que sont google (pour la recherche et les données) ou facebook qui devient un peu le microsoft du réseau social.