Windows XP est mort. Et après ?

Le support pour Windows XP s’arrête le 8 avril prochain.

Cela signifie notamment que son éditeur, Microsoft, ne publiera plus de mise à jour de sécurité. En conséquence de quoi, il parait extrêmement risqué, pour ne pas dire totalement inconscient, de confier ses données (privées ou celles de son entreprise) à un système d’exploitation que personne n’ira réparer en cas de faille. C’est un peu comme rester sur un bateau dont aucun port ne voudrait, et dont l’armateur vous aurait même interdit de le réparer vous-même. Autant vous dire qu’à la moindre attaque de pirates, vous et vos fichiers seront bons pour nourrir les poissons…

WinXP-RIP-pyg-cc-by

De plus, Windows XP est encore très présent. Chez les particuliers, dans les entreprises, dans des terminaux bancaires, etc.

Alors que faire ?

Vous pouvez évidemment changer de système d’exploitation. Rester chez Microsoft (malgré un Windows 8 détesté par de nombreux utilisateurs). Ou passer à Mac OS (malgré les nombreux verrouillages d’Apple pour le bien de l’utilisateur). Mais cela signifie dans la plupart des cas racheter une machine (avec des racketiciels dedans), ce qui n’est bon ni pour la planète, ni pour votre porte-monnaie. Et surtout, la même situation d’abandon logiciel se reproduira tôt ou tard.

Vous pouvez aussi passer aux logiciels libres.

Après tout, vous utilisez peut-être déjà de nombreux logiciels libres avec Windows XP ? Firefox, LibreOffice, VLC sont biens répandus et proposent une alternative viable aux logiciels de Microsoft et autres éditeurs. Donc, pourquoi ne pas sauter le pas et passer à Linux ? Ce ne sont pas les distributions qui manquent. En dehors des particuliers et des entreprises de nombreux gouvernements, états, villes, ou institutions l’ont fait.

Une autre solution, moins répandue, pourrait aussi tout simplement de… ne plus se préoccuper du système d’exploitation de votre machine !

Depuis votre ordinateur, vous vous connectez sur un autre ordinateur (un serveur qui peut être chez vous, ou à l’autre bout du monde), dont vous utilisez les ressources (processeur, logiciel, disque dur, etc). Cet ordinateur vous renvoie l’image de ce que vous faites, exactement comme si vos actions étaient effectuées *dans* votre ordinateur.

Cela a de nombreux avantages, et quelques inconvénients (dont celui d’avoir besoin d’une connexion internet, même à débit modéré).

Nous vous proposons ici un entretien avec François Aubriot, Directeur fondateur de DotRiver, et Président de Ploss Rhône Alpes.

Windows Timeline, source WM Commons

Bonjour François, peux-tu te présenter, ainsi que la société DotRiver ?

Bonjour, perso j’ai été un peu élevé dans un monde bleu, un monde dans lequel nous avions des milliers de terminaux (vert et noir), des connexions à 2400bauds. Dès l’arrivée d’internet sur la planète, je me suis mis à connecter ces grands systèmes avec les plus petits en trouvant dans les environnement GNU/Linux des solutions pertinentes en terme de sécurité, de rapidité et robustesse.

En 2008 nous avons décidé de pousser une nouvelle approche concernant la bureautique qui se trouvait sous une chape monopolistique d’un éditeur américain.

Nous avions déjà plus de 4 ans de retours d’expériences avec de vrais utilisateurs en face de nous. L’idée ? Elle est simple : utiliser les matériels existants, accéder à son environnement de travail depuis n’importe où (ses programmes, ses données…) et ne le faire qu’avec des solutions libres et ou open source pour sortir du carcan imposé par les éditeurs. Lors de la création il nous a fallut choisir entre différents modèles. Faire un logiciel et retomber dans les problématiques des éditeurs ; avoir une approche appliance et mettre des serveurs de partout, mais c’était continuer à faire fonctionner les usines à charbon ; ou proposer un service, celui de garantir que toute la bureautique fonctionne. C’est cette dernière voie que nous avons choisie, certainement la plus dure, mais assurément la plus vertueuse. Et garantir que la bureautique fonctionne… personne ne l’avait jamais fait !

Alors, DotRiver… c’est quoi ?

Le principe est simple : votre ordinateur est sur un serveur. Vos fichiers, votre fond d’écran, vos programmes. Tout est sur un serveur. Vous pouvez changer d’ordinateur (à la maison, au travail), vous retrouvez votre espace de travail, les photos de vos vacances, vos courriers, vos documents. Et le plus sympathique dans tout ça, c’est que tout fonctionne nettement plus vite car un serveur est toujours plus rapide qu’un simple PC.

On pense alors : mais la sécurité dans tout ça ? Justement ! Il est nettement plus sécurisé d’avoir toute son informatique sur un serveur plutôt que sur un PC classique. DotRiver est excessivement sécurisé. Tous les fichiers sont contrôlés pour les virus. Personne d’autre que vous ne peut accéder à votre espace, à vos mots de passe enregistrés dans votre navigateur. DotRiver s’occupe de tout.

De 3 à 113 ans, nos utilisateurs ne se préoccupent plus des tracas de l’informatique locale, et ils peuvent se concentrer sur les usages, sur les métiers dans l’entreprise.
Un détail tout de même : pour utiliser un serveur DotRiver, il faut être connecté à ce serveur. Si vous avez un serveur DotRiver local (dans votre organisation), pas de problème, vous serez toujours connecté. Mais si vous êtes au milieu de l’Amazonie, cela sera plus difficile. Au niveau débits, une connexion ADSL à 512 kbs suffit largement pour utiliser DotRiver. On peut utiliser son bureau DotRiver à partir de 64 kbs.

Ce 8 avril sonnera la date de la mise à la retraite de Windows XP (après 13 ans de pas très loyaux services). Qu’est-ce que cela implique pour les particuliers, associations et entreprises qui l’utilisent encore ?

Il serait bon de tout arrêter et de commencer à réfléchir. Si les entreprises ont encore du Windows XP après la fin du support de sécurité assuré par Microsoft, elles pourront publier leurs listes de clients sur internet. Dans tous les cas, si elles ne le font pas, d’autres le feront ! Il faut donc changer. Vite !

On pourrait penser qu’il faut changer en passant à un autre Windows. Mais pourquoi repartir sur un système dont on voit bien les limites aujourd’hui ? Changement des ordinateurs tous les 2 ou 3 ans, licences payantes… pour un service rendu qui souvent n’est pas au rendez-vous. En effet, combien de temps est-il perdu avec une informatique classique ? Des heures par jour ? Des jours par an.

A l’opposé, DotRiver permet d’utiliser le matériel pendant des années, ce qui est économique. C’est par ailleurs écologique ! DotRiver, peut garantir un bon fonctionnement dans le temps car l’ensemble des logiciels utilisés sont libres. Il est donc possible de corriger des erreurs, de profiter d’améliorations gratuitement, mais surtout de comprendre comment le système fonctionne. Cela n’est pas possible avec un logiciel propriétaire ou un environnement propriétaire.

Enfin, DotRiver fait travailler des salariés locaux (en France), et une société française, qui paye ses impots… en France ! C’est loin d’être le cas de bon nombre de solutions actuelles où les sommes payées partent dans divers paradis fiscaux et ne servent pas du tout à l’économie locale.

Quelles solutions peut alors apporter DotRiver ?

DotRiver propose des serveurs dans le cloud ou des serveurs dédiés installés dans les entreprises ou les organisations.En 2008, nous sommes partis de 2 constats fondateurs : des terminaux nous en avons de partout, et nous en aurons de plus en plus, et pour les connexions c’est pareil, nous en aurons de plus en plus.

Pourquoi donc s’acharner à tout avoir en local, sur sa machine, son doudou numérique et continuer à payer une machine à écrire ?

Dans certaines écoles primaires par exemple, au lieu de devoir faire fonctionner 25 ordinateurs, on se concentre désormais uniquement sur un serveur qui fait fonctionner les 25 ordinateurs. Tous les enfants, tous les professeurs ont LEUR environnement quel que soit le clavier et la souris utilisée. Les enseignants peuvent aussi utiliser la solution depuis leurs domiciles, exactement comme si ils étaient à l’école. Et bientôt les élèves ! Le serveur est bien local dans l’école. Les fichiers sont dans l’école. DotRiver peut avoir accès ou pas aux fichiers. Chez certains clients, qui utilisent notre solution, nous n’avons pas accès aux fichiers. DotRiver se concentre sur tout le périmètre bureautique et permet bien entendu tous les accès aux applications métiers. Les logiciels sont puissants et à jour. Le système fonctionne bien 24/24. C’est cela la garantie de fonctionnement de DotRiver, que nous pouvons assurer car nous avons accès à 100% des sources.

Passons aux question qui fâchent 🙂 Le code de DotRiver est-il libre ? En plus, je confie potentiellement mes données à un tiers, pourquoi avoir confiance dans cette solution ?

Sur le périmètre bureautique toute les données stockées le sont dans des formats ouverts, dans des formats connus et maîtrisés (un avantage encore d’utiliser des standards). Du jour au lendemain tout client récupère toutes ses données (si elles ne sont pas déjà stockées chez lui sur son serveur).

En terme de sécurité que ce soit chez nous, sur des infrastructures hébergées, le cloud, etc., le seul et unique protocole utilisé pour accéder au service est SSH (protocole qui est utilisés par tous les administrateurs systèmes du monde entier pour accéder aux serveurs). Tous les serveurs que nous gérons sont installés sur une base Debian mais DotRiver est avant tout un service, pas un logiciel.

Tous les composants utilisés sont libres ou opensource. Le cœur de la solution est basée sur FreeNX. La valeur de notre solution réside dans le service que nous produisons.

Ce que nous avons fait depuis 10 ans, c’est d’industrialiser, rechercher, comprendre, tester et surtout écouter nos clients de façon à pouvoir leur fournir le service dont ils ont tant besoin : une bureautique puissante, qui fonctionne.

Depuis 2 ans, dans le cadre du projet de R&D nuage France, soutenu par l’état dans le domaine du cloud, auquel nous participons auprès de 5 autre PME Françaises et le LIP6 dirigé par Monsieur Pujol, nous avons fait d’importants développements sur le client OpenNX (client SSH-X). Le projet n’étant plus actif nous pensons sérieusement le reprendre à notre compte et publier le code sous licence Libre. Cela nous permettra, entre autre, de ne plus utiliser le client édité par la société NoMachine dont le client est en GPL mais dont nous n’avons pas les sources 🙁 Raison pour laquelle nous avons travaillé sur le client openNX pour des clients fonctionnant sur des OS Microsoft.

Merci François ! Un dernier mot pour la fin ?

Il est temps de changer de modèle informatique, changer de paradigme de feu le PC et surtout accepter, ne pas avoir peur d’évoluer, d’apprendre.

Les plus gros freins que nous rencontrons sont la résistance au changement et le véritable pouvoir des lobbies. Nous essayons de faire évoluer une économie d’acquisitions vers une économie d’usages, ce qui est bien en phase avec les principes du développement durable et nos valeurs. Les logiciels libres, l’open source sont également extrêmement pertinents pour l’économie locale, nationale et l’emploi. Il serait temps que les collectivités le comprennent, l’intègrent, que l’argent de nos impôts profite aussi à notre pays.

Enfin je ne pourrais que vous conseiller de tester DotRiver… mais attention vous risquez de ne plus regarder votre machine actuelle comme avant. Rassurez vous, vous pourrez continuer à l’utiliser mais uniquement pour quelques usages ultra locaux. Conservez votre clavier, votre écran, votre PC ou Mac mais pour toute la bureautique, votre disque dur local ne fera plus rien.




Débat : 9 points (ou tabous ?) jamais (ou rarement) discutés dans le logiciel libre

Nous traduisons souvent Bruce Byfield, libre penseur du logiciel libre, sur le Framablog.

A-t-il raison d’affirmer qu’il est des sujets pour ainsi dire tabous dans la communauté et surtout que la situation a évolué, n’en déplaise à certains ?

Laëtitia Dulac - CC by

Neuf choses dont on ne discute jamais sur l’open source

9 Things That Are Never Admitted About Open Source

Bruce Byfield – 22 janvier 2013 – Datamation
(Traduction : Moosh, brandelune, Sky, ehsavoie, Astalaseven, petit bonhomme noir en haut à droite, mike, goofy, KoS, Mowee, arcady, maxlath, Astalaseven, mariek, VifArgent, Rudloff, VIfArgent, Penguin, peupleLa, Vilrax, lamessen + anonymous)

Quels sont les sujets tabous dans l‘open source de nos jours ? Certains peuvent se deviner mais d’autres pourraient bien vous surprendre.

On pourrait penser qu’un groupe de personnes intelligentes comme les membres de la communauté des logiciels libres et open source (NdT : FOSS pour Free and Open Source Software) seraient sans tabous. On pourrait s’attendre à ce qu’un tel groupe d’intellectuels juge qu’aucune idée n’est interdite ou gênante – mais ce serait une erreur.

Comme toute sous-culture, la communauté FOSS est cimentée par des croyances. Ces croyances contribuent à bâtir une identité commune : par conséquent, les remettre en cause revient à remettre en cause cette identité.

Certains de ces sujets tabous peuvent saper des évidences admises depuis vingt ans ou plus. D’autres sont nouveaux et contestent des vérités communément acceptées. Quand on les examine, on s’aperçoit que chacun d’entre eux peut être aussi menaçant que la déclaration de valeurs communes peut être rassurante.

Pourtant, même s’il est inconfortable d’interroger ces tabous, il est souvent nécessaire de le faire. Les croyances peuvent perdurer longtemps après le temps où elles s’appliquaient, ou après avoir dégénéré en semi-vérités. Il est utile de temps en temps de penser l’impensable, ne serait-ce que pour mettre ces croyances en phase avec la réalité.

Suivant cette logique, voici neuf observations sur l‘open source qui nécessitent selon moi un nouvel examen.

1. Ubuntu n’est plus le dernier grand espoir de l’open source

Quand Ubuntu est apparue il y a neuf ans, nombreux sont ceux qui l’ont considérée comme la distribution qui mènerait la communauté à dominer le monde. Débarquant de nulle part, Ubuntu s’est immédiatement concentrée sur le bureau comme aucune autre distribution avant elle. Des outils et des utilitaires furent ajoutés. De nombreux développeurs Debian trouvèrent un travail chez Canonical, la branche commerciale d’Ubuntu. Des développeurs virent leurs frais payés pour des conférences auxquelles ils n’auraient pas pu se rendre autrement.

Au fil du temps, une bonne partie de l’enthousiasme initial est retombée. Personne ne semble s’être intéressé à la demande de Mark Shuttleworth, le fondateur d’Ubuntu, à ce que les principaux projets coordonnent leurs cycles de livraison ; ils l’ont tout simplement ignorée. Mais on a vu des sourcils se froncer lorsqu’Ubuntu a commencé à développer sa propre interface plutôt que de contribuer à GNOME. Canonical a commencé à contrôler ce qui se passait dans Ubuntu, apparemment pas pour l’intérêt général mais surtout pour la recherche de profits. Nombreux, aussi, furent ceux qui n’apprécièrent pas l’interface d’Ubuntu, Unity, à sa sortie.

Pourtant, à écouter les employés de Canonical, ou les bénévoles Ubuntu, on aurait presque l’impression qu’il ne s’est rien passé pendant ces neuf dernières années. Lisez notamment le blog de Shuttleworth ou ses déclarations publiques : il se donne le rôle de figure de proue de la communauté et déclare que les « hurlements des idéologues » finiront par cesser devant son succès.

2. Le « cloud computing » sape les licences libres

Il y a sept ans, Tim O’Reilly affirmait que les licences libres étaient devenues obsolètes. C’était sa manière un peu dramatique de nous prévenir que les services en ligne mettent à mal les objectifs du logiciel libre. Comme le logiciel, le cloud computing offre aux utilisateurs l’usage gracieux des applications et du stockage, mais sans aucune garantie ou contrôle quant à la vie privée.

La Free Software Foundation (NdT : Fondation pour le Logiciel Libre) répondit à la popularité grandissante du cloud computing en dépoussiérant la GNU Affero General Public License, qui étend les idéaux du FOSS au cloud computing.

Après cela, pourtant, les inquiétudes à propos de la liberté logicielle au sein du cloud ont faibli. Identi.ca fut créé comme une réponse libre à Twitter, et MediaGoblin développé comme l’équivalent libre d’Instagram ou de Flickr, mais ce genre d’efforts est occulté par la compétition. On n’a pas mis l’accent sur l’importance des licences libres ou du respect de la vie privée dans le cloud.

Par conséquent, les avertissements de O’Reilly sont toujours aussi pertinents de nos jours.

3. Richard Stallman est devenu un atout contestable

Le fondateur de la Free Software Foundation et le moteur derrière la licence GNU GPL, Richard M. Stallman, est une des légendes des logiciels libres et open source. Pendant des années, il a été l’un des plus ardents défenseurs de la liberté du logiciel et la communauté n’existerait probablement pas sans lui.

Ce que ses supporters rechignent à admettre, c’est que la stratégie de Stallman a ses limites. Nombreux sont ceux qui disent que c’est un handicapé social, et que ses arguments se basent sur la sémantique — sur les mots choisis et comment ils influencent le débat.

Cette approche peut être éclairante. Par exemple, lorsque Stallman s’interroge sur l’analogie entre le partage de fichiers et les pillages perpétrés par les pirates, il révèle en fait le parti-pris que l’industrie du disque et du cinéma tente d’imposer.

Mais, malheureusement, c’est à peu près la seule stratégie de Stallman. Il dépasse rarement ce raisonnement qu’il utilise pour fustiger les gens, et il se répète même davantage que des personnes qui passent leur temps à faire des discours. Il est perçu de plus en plus, par une partie de la communauté, comme quelqu’un hors de propos voire même embarrassant. Comme quelqu’un qui fut efficace… mais ne l’est plus. Il semble que la communauté a du mal à admettre l’idée que Stallman a eu un impact certain pendant des années, mais qu’il est moins utile aujourd’hui. Soit il est défendu férocement pour son passé glorieux, soit il est attaqué comme un usurpateur parasite. Je crois que les affirmations concernant ce qu’il a accompli et son manque d’efficacité actuel sont vraies toutes les deux.

4. L’open source n’est pas une méritocratie

L’une des légendes que les développeurs de logiciels libres aiment à se raconter est que la communauté est une méritocratie. Votre statut dans la communauté est censément basé sur vos dernières contributions, que ce soit en code ou en temps.

L’idée d’une méritocratie est très attirante, en cela qu’elle forme l’identité du groupe et assure la motivation. Elle encourage les individus à travailler de longues heures et donne aux membres de la communauté un sentiment d’identification et de supériorité.

Dans sa forme la plus pure, comme par exemple au sein d’un petit projet où les contributeurs ont travaillé ensemble pendant de nombreuses années, la méritocratie peut exister.

Mais le plus souvent, d’autres règles s’appliquent. Dans de nombreux projets, ceux qui se chargent de la documentation ou bien les graphistes sont moins influents que les programmeurs. Bien souvent, vos relations peuvent influencer la validation de votre contribution au moins autant que la qualité de votre travail.

De même, la notoriété est plus susceptible d’influencer les décisions prises que le grade et les (surtout si elles sont récentes) contributions. Des personnes comme Mark Shuttleworth ou des sociétés comme Google peuvent acheter leur influence sur le cours des choses. Des projets communautaires peuvent voir leurs instances dirigeantes dominées par les sponsors privés, comme c’est de fait le cas avec Fedora. Bien que la méritocratie soit l’idéal, ce n’est presque jamais la seule pratique.

5. L’open source est gangrené par un sexisme systémique

Une autre tendance qui plombe l’idéal méritocratique est le sexisme (parfois sour la forme de la misogynie la plus imbécile) que l’on trouve dans quelques recoins de la communauté. Au cours des dernières années, les porte-parole du FOSS ont dénoncé ce sexisme et mis en place des règles officielles pour décourager quelques uns de ses pires aspects, comme le harcèlement pendant les conférences. Mais le problème demeure profondément ancré à d’autres niveaux.

Le nombre de femmes varie selon les projets, mais 15 à 20 pour cent peut être considéré comme un chiffre élevé pour un projet open source. Dans de nombreux cas, ce nombre est en dessous des cinq pour cent, même en comptabilisant les non-programmeurs.

De plus les femmes sont sous-représentées lors des conférences, à l’exception de celles où les femmes sont activement encouragées à faire part de leurs propositions (ces efforts entraînent, inévitablement, leur lot d’accusations quant à des traitements spéciaux et des quotas, quand bien même aucune preuve ne peut être avancée).

La plus grande évidence de sexisme se produit quotidiennement. Par exemple, Slashdot a récemment publié un entretien avec Rikki Ensley, membre de la communauté USENIX. Parmi les premiers commentaires, certains se référaient à une chanson populaire dont le refrain mentionne le prénom Rikki. D’autres discutent de son apparence et lui donnent des conseils pour avoir l’air plus « glamour ».

On assiste à des réactions du même ordre, et bien d’autres pires encore sur de nombreux sites dédiés au monde du libre ou sur IRC, dès qu’une femme apparaît, surtout s’il s’agit d’une nouvelle venue. Voilà qui dément les affirmations d’une communauté qui prétend ne s’intéresser qu’aux seules contributions, ou encore l’illusion que la sous-représentation des femmes serait simplement une question de choix individuels.

6. Microsoft n’est plus l’ennemi irréductible du logiciel libre

Il y a à peine plus d’une dizaine d’années, vous pouviez compter sur Microsoft pour traiter le monde du Logiciel Libre de « communiste » ou « anti-Américain », ou sur leurs intentions parfois divulguées dans la presse de vouloir détruire la communauté.

Une grande partie de la communauté s’accroche encore à ces souvenirs. Après tout, rien ne rassemble plus les gens qu’un ennemi commun, puissant et inépuisable.

Mais ce dont la communauté ne se rend pas compte, c’est que la réaction de Microsoft est devenue plus nuancée, et qu’elle varie d’un service à l’autre au sein de l’entreprise.

Nul doute que les dirigeants de Microsoft continuent de voir le logiciel libre comme un concurrent, bien que les dénonciations hautes en couleur aient cessé.

Cependant, Microsoft a pris conscience que, compte-tenu de la popularité du logiciel libre, les intérêts à court terme de l’entreprise seraient mieux servis si elle s’assurait que les outils libres (en particulier les langages de programmation les plus populaires) fonctionnent correctement avec ses propres produits. C’est d’ailleurs la mission principale du projet Microsoft Open Technologies. Récemment, Microsoft est même allé jusqu’à publier une courte déclaration faisant l’éloge de la dernière version de Samba, qui permet l’administration des serveurs Microsoft depuis Linux et les systèmes Unix (NdT : Voir aussi cette FAQ en français publiée par Microsoft).

Bien sûr, il ne faut pas non plus s’attendre à voir Microsoft devenir une entreprise open source ou faire des dons désintéressés d’argent ou de code à la communauté. Mais, si vous faites abstraction des vieux antagonismes, l’approche égoïste de Microsoft à l’égard du logiciel libre n’est pas très différente de nos jours de celle de Google, HP, ou n’importe quelle autre entreprise.

7. L’innovation des interfaces stagne

En 2012, nombreux furent ceux qui n’ont pas adopté GNOME 3 et Unity, les deux dernières interfaces graphiques majeures. Cet abandon fut largement lié à l’impression que GNOME et Ubuntu ignoraient les préoccupations des utilisateurs et qu’ils imposaient leur propre vision, sans concertation.

À court terme, cela a mené à la résurrection de GNOME 2 sous des formes variées.

En tant que prédécesseur de GNOME 3 et de Unity, GNOME 2 fut un choix évident. C’est une interface populaire qui n’impose que peu de restrictions aux utilisateurs.

Quoi qu’il en soit, cela risque d’être, à long terme, étouffant pour l’innovation. Non seulement parce que le temps passé à ressuciter GNOME 2 n’est pas mis à profit pour explorer de nouvelles voies, mais parce que cela semble être une réaction à l’idée même d’innovation.

Peu sont ceux, par exemple, qui sont prêts à reconnaître que GNOME 3 ou Unity ont des fonctionnalités intéressantes. Au contraire, les deux sont condamnés dans leur ensemble. Et les développements futurs, tels l’intention de GNOME de rendre la sécurisation et la confidentialité plus simples, n’ont pas reçu l’attention qu’ils méritaient.

Au final, au cours des prochaines années, l’innovation en sera probablement réduite à une série de changements ponctuels, avec peu d’efforts pour améliorer l’ergonomie dans son ensemble. Même les développeurs hésiteront à tenter quoi que ce soit de trop différent, afin d’éviter le rejet de leurs projets.

Je me dois d’applaudir le fait que les diverses résurrections de GNOME 2 marquent le triomphe des requêtes des utilisateurs. Mais le conservatisme qui semble accompagner ces aboutissements m’inquiète : j’ai bien peur que cette victoire n’engendre d’autres problèmes tout aussi importants.

8. L’open source est en train de devenir une monoculture

Ses partisans aiment à revendiquer que l’un des avantages du logiciel libre et open source, c’est d’encourager la diversité. À la différence de Windows, les logiciels libres sont supposés être plus accueillants pour les idées nouvelles et moins vulnérables aux virus, la plupart des catégories de logiciels incluant plusieurs applications.

La réalité est quelque peu différente. À la lecture d’une étude utilisateurs vous remarquerez un modèle plutôt constant : une application ou technologie recueille 50 à 65% des votes, et la suivante 15 à 30%.

Par exemple, parmi les distributions, Debian, Linux Mint et Ubuntu, qui utilisent toutes le format de packet en .DEB, recueillent 58% du choix des lecteurs 2012 du Linux Journal, que l’on peut comparer aux 16% recueillis par Fedora, openSUSE, et CentOS, qui utilisent quant à elles le format .RPM.

De même, Virtualbox atteint 56% dans la catégorie « Meilleure solution de virtualisation », et VMWare 18%. Dans la catégorie « Meilleure gestion de versions », Git recueille 56% et Subversion 18%. La catégorie la plus asymétrique est celle des « Suites bureautiques » dans laquelle LibreOffice recueille 73% et (sic) Google Docs 12%.

Il n’y avait que deux exceptions à cette configuration. La première était la catégorie « Meilleur environnement de bureau », dans laquelle la diversification des dernières années était illustrée par les scores de 26% pour KDE, 22% pour GNOME 3, 15% pour GNOME 2 et 12% pour Xfce. La deuxième catégorie était celle de « Meilleur navigateur web »dans laquelle Mozilla Firefox recueillait 50% et Chromium 40%.

De manière générale, les chiffres ne rendent pas compte d’un monopole, mais dans la plupart des catégories, la tendance est là. Au mieux, on pourrait dire que, si la motivation n’est pas le profit, le fait d’être moins populaire n’implique pas que l’application va disparaître. Mais si la concurrence est saine, comme tout le monde aime à le dire, il y a tout de même des raisons de s’inquiéter. Quand on y regarde de près, les logiciels libres sont loin d’être aussi diversifiés que ce que l’on croit.

9. Le logiciel libre est bloqué si près de ses objectifs

En 2004, les logiciels libres et open source en étaient au stade où ils couvraient la plupart des usages de base des utilisateurs : envoi de courriels, navigation sur internet et la plupart des activités productives sur ordinateur. En dehors des espoirs de disposer un jour d’un BIOS libre, il ne manquait plus que les pilotes pour les imprimantes 3D et les cartes WiFi pour atteindre l’utopie d’un système informatique entièrement libre et open source.

Neuf ans plus tard, de nombreux pilotes libres de carte WiFi et quelques pilotes libres de cartes graphiques sont disponibles – mais nous sommes loin du compte. Pourtant la Free Software Foundation ne mentionne que rarement ce qui reste à faire, et la Linux Foundation ne le fait pratiquement jamais, alors même qu’elle sponsorise l’OpenPrinting database, qui liste les imprimantes ayant des pilotes libres. Si l’on combinait les ressources des utilisateurs de Linux en entreprise, on pourrait atteindre ces objectifs en quelques mois, pourtant personne n’en fait une priorité.

Admettons que certaines entreprises se préoccupent de leur soi-disant propriété intellectuelle sur le matériel qu’elles fabriquent. Il est possible également que personne ne veuille courir le risque de fâcher leurs partenaires commerciaux en pratiquant la rétroingénierie. Pourtant, on a bien l’impression que l’état actuel de statu quo persiste parce que c’est déjà bien assez, et que trop peu de personnes ont à cœur d’atteindre des objectifs dont des milliers ont fait le travail de leur vie.

Des discussions, non des disputes

Certains ont peut-être déjà conscience de ces sujets tabous. Cependant, il est probable que chacun trouvera dans cette liste au moins un sujet pour se mettre en rogne.

Par ailleurs, mon intention n’est pas de mettre en place neuf aimants à trolls. Même si je le voulais, je n’en aurais pas le temps.

Ces lignes sont plutôt le résultat de mes efforts pour identifier en quoi des évidences largement admises dans la communauté devraient être remises en question. Je peux me tromper. Après tout, je parle de ce que j’ai pris pour habitude de penser, moi aussi. Mais au pire, cette liste est un bon début.

Si vous pensez qu’il y a d’autres sujets tabous à aborder et à reconsidérer au sein de la communauté des logiciels libres et open source, laissez un commentaire. Cela m’intéresse de voir ce que je pourrais avoir oublié.

Crédit photo : Laëtitia Dulac (Creative Commons By)




Framalab, le laboratoire des projets Framasoft

Quoi, Framalab ? Encore un néologisme au préfixe « Frama » !

Mais cette fois-ci ce n’est pas une nouveauté proprement dite. Il s’agit de l’espace portail où nous entreposons un certains nombres de nos projets, qu’ils soient encore dans les (frama)cartons ou déjà en production mais considérés pour plusieurs raisons comme des versions « alpha » ou « bêta ».

Framalab

Si nous étions open source on pourrait parler de « lieu d’incubation », mais comme nous sommes plutôt logiciel libre on va dire que c’est notre joyeux bazar (plus ou moins) organisé 😉

Nous ne vous détaillerons pas ici les projets qui y figurent parce que le principe c’est que ça tourne tout le temps.

Certains deviendront, qui sait, de futurs grands succès de notre réseau (certains le sont même déjà un peu à notre échelle à nous). D’autres ne verront peut-être jamais le jour (surtout si on ne relève pas nos finances actuelles, rappel subtil et subliminal quant à la possibilité de nous soutenir). Et il y a tous ceux qui vont arriver dans le futur car ce ne sont pas les idées qui manquent (ce qui manque c’est… bon on ne va pas recommencer !).

Vous y trouverez des projets déjà connus, mais en descendant plus bas dans la page d’accueil, il se pourrait bien que vous fassiez quelques découvertes…

-> Visitez Framalab




Quand le gouvernement US s’arroge le droit de lire nos données personnelles

Megaupload était une système de partage de fichiers techniquement neutre. Oui, il contenait beaucoup de contenus enfreignant les lois sur le copyright. Mais il y avait également des utilisateurs qui y plaçaient leurs propres ressources dans la plus stricte légalité et qui se sont retrouvés du jour au lendemain dans l’incapacité d’y accéder lorsque le gouvernement américain a fait fermer Megaupload.

C’était le cas de Kyle Goodwin qui a déposé un recours pour tenter de les récupérer.

Mais le gouvernement américain ne l’entend pas de cette oreille en choisissant volontairement de mettre des bâtons dans les roues de la procédure. Pire encore il se permettrait d’aller fouiller sans autorisation dans le feu compte Megaupload de Kyle Goodwin afin d’y trouver d’éventuelles preuves d’une quelconque culpabilité (comme par exemple y puiser un fichier illégal).

Et ce n’est plus le seul problème de Kyle Goodwin avec Megaupload qui est en jeu ici, c’est le devenir de toutes les données personnelles que nous mettons dans le cloud computing, puisque rien ne semble empêcher demain le même gouvernement d’aller fouiller sans vous prévenir dans votre compte Google, Apple ou Amazon !

Nous devons lutter contre ces agissements brutaux et dangereux du gouvernement américain. Mais nous devons aussi nous interroger quant au devenir de nos données que nous laissons, parfois naïvement, dans le cloud, a fortiori si derrière ce cloud se cachent des serveurs sur territoire américain (et donc juridiction américaine).

Fernando - CC by-sa

Megaupload et l’attaque du cloud computing par le gouvernement Américain

Megaupload and the Government’s Attack on Cloud Computing

Cindy Cohn et Julie Samuels – 31 octobre 2012 – EFF.org
(Traduction : Zii, Husi10, A-xis, KoS, lgodard, Ag3m, Maxauvy, Ryoanji, 3josh)

Hier, EFF (Electronic Frontier Fondation), pour le compte de son client Kyle Goodwin, a déposé un recours en justice dans l’affaire Megaupload afin de rendre le gouvernement responsable des actions entreprises (et celles qu’il n’a pas reussi à entreprendre) lorsqu’il a fermé le service de Megaupload et ainsi empêché des tiers comme M. Goodwin d’accèder à leurs biens. Le gouvernement a également déposé son propre recours, imposant la mise en place d’un long et difficile processus qui demanderait à des tiers (souvent des anonymes ou des petites entreprises) de voyager jusqu’à de lointains tribunaux et de participer à de multiples audiences, uniquement pour récupérer ce qui leur revient de droit.

Pire, le gouvernement a reconnu avoir eu accès au compte Megaupload de M. Goodwin et en avoir examiné le contenu. En agissant ainsi, le gouvernement a franchi une étape significative et quelque peu effrayante. Il a apparemment fouillé les données saisies dans un but précis alors que sa cible était Megaupload, afin d’utiliser les preuves éventuellement découvertes contre M. Goodwin, qui a été atteint par ces actions mais qui n’est clairement pas l’objet d’une quelconque enquête criminelle, et encore moins concerné par celle visant Megaupload. Il s’agit bien sûr d’une vaine tentative pour attaquer M. Goodwin, en essayant de détourner l’attention de la presse et de la Cour de l’incapacité du gouvernement à prendre des mesures, et encore moins les mesures raisonnables requises par la loi, afin de protéger les droits de propriété des tiers, que ce soit avant ou après l’exécution d’un mandat. Et bien entendu, si le gouvernement est si bien placé qu’il peut fouiller dans les fichiers de M. Goodwin et donner son avis sur leur contenu (et il n’est pas certain que cette seconde fouille ait jamais été autorisée), il peut a priori trouver un moyen de les lui restituer.

Mais, en plus de cela, l’approche du gouvernement devrait terrifier tous les utilisateurs de services de cloud, sans compter les fournisseurs de ces services. Le gouvernement maintient que M. Goodwin a perdu ses droits de propriété sur ses données en les stockant sur un service de cloud computing. Spécifiquement, le gouvernement argumente qu’à la fois le contrat entre Megaupload et M. Goodwin (un contrat standard de cloud computing) et le contrat entre Megaupload et son hébergeur Carpathia (un accord standard également), « limite tout intérêt de propriété qu’il pourrait avoir » dans ses données. (Page 4). Si le gouvernement a raison, aucun fournisseur ne peut plus se protéger contre des pertes soudaines (comme celles dues à un ouragan), ni promettre à leurs clients que leurs droits de propriété seront maintenus en utilisant le service. Ils ne peuvent non plus garantir que leurs fichiers ne risquent pas de disparaître soudainement, sans aucun moyen raisonnable de les récupérer si le gouvernement décide de les saisir avec un mandat. Apparemment, vos droits de propriété « deviennent sévèrement limités » si vous autorisez une tierce personne à héberger vos données sous couvert d’un accord standard de cloud computing. Cet argument n’est aucunement limité à Mégaupload, il s’appliquerait aussi si la tierce partie était le S3 d’Amazon, Google Apps ou Apple iCloud.

La tactique du gouvernement nous démontre une chose effrayante : si les utilisateurs essaient d’obtenir leurs biens, le gouvernement n’hésitera pas à les passer au peigne fin afin d’essayer de trouver une preuve à utiliser contre eux. Le gouvernement cherche également à imposer un fardeau quasi insurmontable aux utilisateurs en demandant au tribunal d’avancer lentement et d’utiliser un processus à plusieurs étapes qui aurait lieu dans un tribunal éloigné. La plupart des personnes utilisant le service de cloud computing pour stocker leurs documents commerciaux ou personnels ne sont pas en mesure d’assister à une seule comparution devant le tribunal de Virginie, et encore moins aux multiples autres que le gouvernement envisage de soumette à la Cour.

Finalement, si le gouvernement ne ressent pas l’obligation de respecter le droit des utilisateurs de Megaupload, et c’est vraiment le cas, il ne va pas changer d’avis si la cible de sa prochaine investigation est un service de partage encore plus populaire. La portée de cette saisie a été sans précédent et ils n’ont pas engagé un processus que la loi nomme « minimisation », que ce soit en amont ou après coup, en faisant en sorte de rendre leurs données aux utilisateurs du cloud et ce en mesurant bien les dégâts. Et maintenant le gouvernement est en train d’essayer d’utiliser les clauses des contrats standards pour vendre le fait que les utilisateurs d’un service de cloud ont au mieux, « sévèrement limité » leurs droits de propriété sur leur propres données.

Tous ceux qui ont réfléchi sur ce qu’impliquent les problèmes soulevés par ce procès ont raison de penser que l’affaire Megaupload va bien au delà de Megaupload.

Crédit photo : Fernando (Creative Commons By-Sa)




Framavectoriel : Nouveau projet Framasoft qui met en avant le format SVG

Dans la famille « les libres et pratiques services Web proposés par Framasoft » qui ne demandent pas d’inscription, on a : le traitement de texte collaboratif (Framapad), le tableur collaboratif (Framacalc), l’équivalent d’un Doodle mais en libre (Framadate) et un tout récent éditeur de cartes mentales (Framindmap).

Et pourquoi pas aussi, tant qu’on y est, un outil d’édition d’images en ligne ?

Il arrive, il arrive et il s’appelle Framavectoriel !

Framavectoriel

Attention, ce n’est pas demain la veille qu’on trouvera un équivalent de The Gimp à même votre navigateur, mais on vous propose néanmoins la version francisée de svg-edit, libre application certes modeste mais non dénuée déjà de nombreuses fonctions et qui saura trouver son utilité dans des cas simples ou des situations de formation (nous ne saurons trop vous suggérer de mettre vos enfants dessus plutôt que sur l’abominable Paint).

En fait ce n’est pas la comparaison avec The Gimp qui est judicieuse ici mais plutôt Inkscape (dont il constitue une excellente initiation). En effet l’atout principal de Framavectoriel c’est de proposer de travailler au puissant format libre et ouvert SVG.

Parce que certains l’ignorent encore mais lorsque vous êtes en situation de création graphique et non de retouche photo il est alors bien plus pertinent d’utiliser des images vectorielles et non matricielles, a fortiori si le format est libre.

Et c’est aussi parce que nous avons envie de participer à pousser ce format que nous avons décidé de mettre en ligne ce service en le baptisant ainsi.

-> Découvrir et utiliser Framavectoriel

PS : Oui, on vous fait le coup à chaque fois désormais, mais si vous avez le temps et les moyens d’un petit soutien sonnant et trébuchant pour nous remercier du service (si service il y a), ça nous aiderait à poursuivre sereinement l’aventure car nous n’avons qu’une visibilité de quelques mois actuellement.




Framindmap : Et si on faisait aussi de libres cartes heuristiques en ligne ?

Framindmap est un nouveau projet du réseau Framasoft.

Framindmap

Il permet de faire de jolies cartes heuristiques directement en ligne à même le navigateur (on parle aussi de carte mentale ou mind map).

L’interface est franchement fluide et intuitive[1].

Pas d’installation, pas d’inscription, vous voici tout de suite opérationnel(le) ! De plus nous ne conservons strictement aucune donnée personnelle (l’application ne laisse de traces que locales sur votre ordinateur et non sur le serveur).

Contrairement à Framapad ou Framacalc, Framindmap ne permet pas la collaboration sur une même carte. Mais vous pouvez à la sortie l’imprimer, en faire une image et donc aussi l’enregistrer localement (soit directement dans votre navigateur soit comme fichier au format JSON[2]) pour une utilisation ultérieure.

Pour ce qui concerne les usages, Framindmap pourra être utile en situation de brainstorming, prise de notes, formation, classification, structuration d’un projet, etc.

Comme d’habitude, il repose sur une solution libre que nous avons adaptée et francisée, en l’occurrence mindmaps, du JavaScript sous licence AGPL v3. Et comme d’habitude vous êtes cordialement invité(e) à l’installer sur votre propre serveur pour faire respirer le Web (et vos données personnelles) en le décentralisant.

-> Découvrir et utiliser Framindmap

PS : Nous sortons de nombreux projets actuellement, merci de les relayer si vous le jugez bon car toute notre équipe marketing commerciale est en vacances actuellement (en fait ça fait 10 ans que ça dure). Merci également de faire en sorte que cela ne soit pas notre chant du cygne en nous soutenant ! 🙂

Notes

[1] Mais plutôt rudimentaire si on le compare à un traditionnel logiciel de mind mapping en dur sur votre ordinateur comme Freeplane. Nous savons où aller pour de futures améliorations 🙂

[2] Format non lu directement par Freeplane par exemple, mais ce serait un chouette plugin à développer 😉




Sortie du projet Framacalc, qui se veut être au tableur ce que Framapad est au texte !

Framacalc

Et hop, encore un nouveau projet pour le tentaculaire réseau Framasoft ! Il s’appelle Framacalc et il ambitionne de proposer le même service que Framapad mais pour le tableur cette fois.

Pour rappel, Framapad c’est la possibilité de faire du traitement de texte collaborativement en ligne (nous allons du reste vous en proposer une spectaculaire mise à jour très bientôt). Et pour le tableur me direz-vous ? C’est là qu’intervient Framacalc.

Avec Framacalc donc vous vous retrouvez à travailler à plusieurs sur le même tableur toujours accessible sur Internet.

Vous piaffez déjà d’impatience ? Alors rendez-vous tout de suite sur le site dédié pour le tester.

Attention, quand bien même les fonctionnalités tableur sont déjà bien avancées, celles concernant la collaboration et l’exportation sont encore rudimentaires. Ainsi, contrairement à Framapad, on n’est pas capable de savoir qui se cache derrière telle ou telle édition, même si on observe bien les éditions des autres se faire en temps réel. Il n’y a pas non plus encore de fenêtre de chat et l’export ne se fait pour le moment qu’au format HTML.

Il y a encore du boulot donc (mais cela peut déjà convenir pour de nombreuses situations simple et non confidentielles, on pense notamment à l’éducation).

Tout comme Framapad, il y a une solution libre qui se cache derrière. Il s’agit du projet EtherCalc (avec du Node.js sous le capot). Il est déposé ici sur GitHub et, il va sans dire que nous encourageons les installations individuelles car, Framacalc ou Framapad, les projets Framasoft sont aussi voire surtout là pour que le cloud se décentralise librement (et finisse par contrarier ces capteurs de données personnelles que sont Google, Facebook ou Apple).

Avec Framapad + Framacalc, Google Documents n’a qu’à bien se tenir ? Nous n’en sommes pas encore là mais, un jour, qui sait… 🙂

-> Framacalc : Tableur collaboratif en ligne du réseau Framasoft

PS : Nous vous rappelons que ce service libre et gratuit est l’un des nombreux projets du réseau Framasoft qui ne vit que par vos dons. Pour en assurer la pérennité et le développement, merci de soutenir notre association si vous le pouvez/souhaitez.




Les services en ligne ne sont ni libres ni privateurs ; ils posent d’autres problèmes

Facebook est-il « libre » ? Gmail est-il « libre » ? Le nébuleux « cloud computing » est-il « libre » ?

Lorsqu’il s’agit de services en ligne la question est mal posée et mérite d’être précisée, nous affirme ici Richard Stallman en passant en revue les différents et complexes cas de figure[1].

Maurizio Scorianz - CC by-nc

Les services en ligne ne sont ni libres ni privateurs ; ils posent d’autres problèmes

URL d’origine du document (GNU.org)

Richard Stallman – version du 15 mai 2012 – Gnu.org – Creative Commons By-Nd
(Traduction : Céline Libéral, Mathieu Adoutte, Caner, pour Framalang)

Les programmes et les services sont deux choses différentes. Un programme est une œuvre que vous pouvez exécuter, un service est une activité avec laquelle vous pouvez interagir.

Pour les programmes, nous établissons une distinction entre libre et non libre (privateur, ou propriétaire). Plus précisément, cette distinction s’applique à un programme dont vous avez une copie : soit vous disposez des quatre libertés, soit vous n’en disposez pas.

Une activité (telle qu’un service) n’existe pas sous forme de copies. Il n’est donc pas possible d’en avoir une ni d’en faire. Ainsi, les quatre libertés qui définissent un logiciel libre n’ont pas de sens pour les services.

Pour utiliser une analogie culinaire, même si j’ai appris à cuisiner en vous regardant, ma cuisine ne peut pas être une copie de la vôtre. Il se peut que j’aie une copie de la recette que vous utilisez pour cuisiner, et que je m’en serve, car les recettes, comme les programmes, sont des œuvres qui peuvent exister en plusieurs exemplaires. Mais la recette et la manière de cuisiner sont deux choses différentes (et les plats obtenus en sont une troisième).

Avec la technologie actuelle, les services sont souvent implémentés en faisant tourner des programmes sur des ordinateurs mais ce n’est pas le seul moyen (en fait, il existe des services en ligne qui sont implémentés en demandant à des êtres humains en chair et en os de saisir des réponses à des questions). Dans tous les cas, l’implémentation n’est pas visible par les utilisateurs du service, donc cela n’a aucun impact sur eux.

Un service en ligne peut poser aux utilisateurs le problème du recours à un logiciel libre ou non libre, par le biais du client requis pour l’utiliser. Si le service nécessite l’utilisation d’un programme client non libre, recourir à ce service suppose que vous abandonniez votre liberté à ce programme. Pour beaucoup de services web, ce logiciel non libre est du code JavaScript, installé discrètement dans le navigateur de l’utilisateur. Le programme GNU LibreJS permet de refuser facilement d’exécuter ce code JavaScript non libre. Mais le problème du logiciel client est selon toute logique distinct de celui du service lui-même.

Il existe un cas où un service est directement comparable à un programme : celui où le service revient à avoir une copie d’un programme donné et à l’exécuter vous-même. On appelle cela SaaS, ou « logiciel en tant que service », et un tel service constitue toujours une régression au plan éthique. Si vous disposiez du programme équivalent, vous auriez le contrôle sur votre informatique, à supposer que le programme soit libre. Mais lorsque vous utilisez le service de quelqu’un d’autre pour faire la même chose, vous ne contrôlez plus rien.

Recourir au SaaS revient à utiliser un programme non libre avec des fonctionnalités de surveillance et une porte dérobée (backdoor) universelle. Donc vous devriez le refuser, et le remplacer par un logiciel libre qui fait la même chose.

En revanche, les fonctions principales de la plupart des services sont de communiquer et de publier des informations. Ils n’ont rien en commun avec un logiciel que vous exécuteriez vous-même, ce ne sont donc pas du SaaS. Ils ne peuvent pas non plus être remplacés par votre copie d’un programme, car un programme s’exécutant sur vos propres ordinateurs, utilisé uniquement par vous, n’est pas suffisant en lui-même pour communiquer avec d’autres personnes.

Les services non SaaS peuvent nuire à leurs utilisateurs d’autres manières. Les problèmes qui leur sont liés peuvent être aussi bien la mauvaise utilisation des données que vous leur avez envoyées, que la collecte d’autres données (surveillance). Le Franklin Street Statement[2] a tenté d’aborder cette question, mais nous n’avons pas de position bien établie pour le moment. Ce qui est clair, c’est que les problèmes liés aux services sont différents de ceux qui concernent les programmes. Ainsi, par souci de clarté, il est préférable de ne pas appliquer les termes « libre » et « non libre » à un service.

Supposons qu’un service soit fourni par le biais d’un logiciel : l’opérateur du serveur a des copies de nombreux programmes, et les exécute pour fournir le service. Ces copies peuvent être des logiciels libres, ou non. Si c’est l’opérateur qui a développé les programmes, et qu’il les utilise sans en distribuer de copie, alors ils sont libres (sans que cela signifie grand chose) puisque tout utilisateur (il n’y en a qu’un) détient les quatre libertés.

Si certains programmes ne sont pas libres, cela n’affectera pas directement les utilisateurs du service. Ce ne sont pas eux qui exécutent ces programmes, c’est l’opérateur. Dans certaines situations bien particulières, ces programmes peuvent indirectement affecter les utilisateurs : si le service détient des informations confidentielles, ses utilisateurs peuvent s’inquiéter de la présence de portes dérobées dans les programmes non libres, permettant à d’autres d’accéder à leurs données. En fait, les programmes non libres du serveur obligent les utilisateurs à faire confiance à leurs développeurs ainsi qu’à l’opérateur du service. Le risque concret dépend de chaque cas particulier, et notamment de ce que font ces programmes non libres.

Cependant, il y a une personne qui est certainement affectée par les programmes non libres qui fournissent le service, c’est l’opérateur du serveur lui-même. Nous ne lui reprochons pas d’être à la merci de logiciels non libres, et nous n’allons certainement pas le boycotter pour ça. Au contraire, nous nous faisons du souci pour sa liberté, comme pour celle de tout utilisateur de logiciel non libre. Quand nous en avons l’occasion, nous essayons de lui expliquer qu’il met en péril sa liberté, en espérant qu’il bascule vers le logiciel libre.

Inversement, si un opérateur de service utilise GNU/Linux ou d’autres logiciels libres, ce n’est pas une bonne action, c’est tout simplement dans son intérêt. Nous n’allons pas l’encenser, ni le remercier, simplement nous le félicitons d’avoir fait le choix le plus avisé. S’il publie certains de ses logiciels libres, contribuant ainsi à faire avancer la communauté, là nous avons une raison de le remercier. Nous lui suggérons de diffuser ces programmes sous la GNU Affero GPL (Licence publique générale Affero de GNU), puisqu’ils sont destinés à des serveurs.

Pourquoi la GPL Affero ?

Ainsi, nous n’avons pas de règle qui dise que des systèmes libres ne devraient pas utiliser (ou s’appuyer sur) des services (ou des sites) fournis par le biais de logiciels non libres. Cependant, ils ne devraient pas dépendre de services de type SaaS, ni inciter à les utiliser. Les Saas doivent être remplacés par des logiciels libres. Et, toutes choses égales par ailleurs, il est préférable de privilégier les fournisseurs de service qui apportent leur contribution à la communauté en publiant des logiciels libres utiles. Il est également souhaitable de privilégier les architectures pair-à-pair plutôt que les communications centralisées reposant sur un serveur.

Notes

[1] Crédit photo : Maurizio Scorianz (Creative Commons By-Nc)

[2] Franklin Street Statement on Freedom and Network Services : déclaration de Franklin Street sur la liberté et les services en ligne.




Afin que les applications de nos smartphones n’abusent pas l’utilisateur

Il est aujourd’hui question des logiciels installés dans nos téléphones portables intelligents, on parle alors plutôt des apps de nos smartphones.

Ils sont intelligents parce que ces applications peuvent désormais rendre toutes sortes de services. Sauf que parfois, voire souvent, elles collectent au passage les données personnelles de l’utilisateur sans que ce dernier soit forcément au courant de tels agissements[1].

En effet si l’on savait clairement que telle apps a accès à nos contacts, nos photos ou nos localisations géographiques, informations envoyées on ne sait trop où de manière non sécurisée, on y réfléchirait peut-être à deux fois avant de l’installer d’un simple clic dans notre téléphone[2].

La faute aux utilisateurs non vigilants[3] mais surtout aux développeurs de ces applications qui sont encore loin de tous adopter les quelques recommandations ci-dessous de l’Electronic Frontier Foundation.

Remarque : On notera que Mozilla, avec ses prometteurs et vertueux projets Do Not Track et Boot 2 Gecko, se démarque une fois de plus de ses petits camarades.

Phil Campbell - CC by

Déclaration des droits de la vie privée des utilisateurs de téléphones mobiles

Mobile User Privacy Bill of Rights

Parker Higgins – 2 mars 2012 – EFF.org
(Traduction Framalang/Twitter : kamui57, Pascal, goofy, Ak:kes, Thibo, Sylvain, Céline, Jonathan, Gatitac, Antoine, BlackMouse)

Les applications pour smartphones représentent une technologie puissante qui va devenir de plus en plus importante dans les années à venir. Mais l’avantage incomparable qu’elles apportent à un appareil toujours allumé et connecté présente également des risques pour notre vie privée. Et vu les données sensibles que les utilisateurs stockent désormais dans leurs téléphones (textes, coordonnées, localisations, photos, vidéos…), les responsabilités qui incombent aux fabricants, opérateurs, développeurs d’applications et régies publicitaires mobiles sont de plus en plus importantes pour respecter la vie privée des utilisateurs, afin de gagner et conserver la confiance, plus que jamais importante et nécessaire, de ces derniers.

Heureusement, il existe des recommandations répondant aux besoins et attentes des utilisateurs. Ce guide des bonnes pratiques s’inspire fortement de documents tels que le projet de loi FEP de Droits à la confidentialité pour les utilisateurs de réseaux sociaux ainsi que du livre blanc de la Maison Blanche La confidentialité des données des consommateurs dans un monde connecté pour établir une référence et indiquer aux acteurs de l’industrie mobile ce qu’ils doivent faire afin de mieux respecter la vie privée de l’utilisateur.

Constructeurs ou régies publicitaires ont leur part de responsabilité mais on s’intéressera ici avant tout aux développeurs qui ont les possibilité de devancer ces problèmes.

Une déclaration des droits de l’utilisateur de mobile

Les développeurs doivent créer des applications qui respectent les droits suivants :

  • Contrôle individuel : Les utilisateurs ont le droit d’exercer un contrôle sur les données collectées par les applications et savoir comment elles sont utilisées. Bien qu’il existe un contrôle d’accès au niveau du système d’exploitation des smartphones (iOS, Android…), les développeurs devraient s’appliquer à donner également ce pouvoir aux utilisateurs même lorsque cela n’est pas requis techniquement ou juridiquement par la plateforme. Le droit à un contrôle individuel inclut également la possibilité de revenir sur son consentement et d’effacer ces données des serveurs d’applications. Les fiches techniques de la Maison Blanche le disent explicitement : « les compagnies doivent fournir les moyens d’annuler un accord avec la même facilité qu’on a eu à l’obtenir en installant l’application. Si des consommateurs donnent leur consentement en appuyant sur une simple touche, ils devraient être capables de l’annuler de la même façon. »
  • La collecte de données ciblées : En plus des guides des meilleures pratiques pour les fournisseurs d’accès, les développeurs d’applications doivent se montrer particulièrement prudents lorsqu’il s’agit d’appareils mobiles. Le partage non désiré et à son insu des contacts du carnet d’adresses ou des albums photos ont déjà fait l’objet de vives protestation des utilisateurs. Un autre domaine particulièrement sensible concerne les données et les archives de localisation, ainsi que les contenus et les métadonnées relatives aux appels téléphoniques et aux messages texto. Les développeurs d’applications mobiles ne devraient recueillir que le minimum nécessaire pour fournir le service tout en préservant l’anonymat des renseignements personnels.
  • Transparence : Les utilisateurs ont besoin de connaître les données auxquelles une application accède, combien de temps ces données sont conservées et avec qui elles seront partagées. Les usagers devraient être en mesure d’accéder de manière claire aux politiques de confidentialité et de sécurité, et ce, avant et après l’installation. La transparence est particulièrement critique là où l’utilisateur n’interagit pas directement avec l’application (comme par exemple avec Carrier IQ).
  • Respect du contexte : Les applications qui collectent des données ne devraient les utiliser ou les partager qu’en respectant le contexte dans lequel elles ont été fournies. Par exemple si une application possède une fonction « trouver des amis » qui nécessite l’accès à vos contacts, elle ne doit pas donner ces informations à des tiers ou les utiliser pour envoyer des e-mails à ces contacts. Quand l’application souhaites faire une une utilisation externe de ces données, elle doit impérativement obtenir l’accord explicite de l’utilisateur.
  • Sécurité : Les développeurs sont responsables de la sécurité des données qu’ils collectent et conservent. Elle devraient être chiffrées aussi pour le stockage que lorsqu’elles transitent du téléphone au serveur de l’application.

  • Responsabilité : En fin de compte, tous les acteurs de l’industrie mobile sont responsables du comportement des matériels et des logiciels qu’ils créent et déploient. Les utilisateurs ont le droit d’attendre un comportement responsable de leur part et de leur demande de rendre des comptes.

Bonnes pratiques techniques

Que devraient faire les développeurs pour respecter les points ci-dessus ? Voici quelques pratiques à suivre pour préserver la vie privée des utilisateurs.

  • Anonymisation et dissimulation : Les informations devraient être si possible hachées, dissimulées ou au moins anonymisées.
  • Sécuriser les transmission de données : Les connexions TLS devraient être utilisées par défaut pour transférer toute information personnelle et doivent l’être impérativement pour toute information sensible.
  • Stockage sécurisé des données : Les développeurs doivent conserver les informations uniquement durant le temps nécessaire au fonctionnement de leurs services, et ces informations doivent être correctement chiffrées.
  • Sécurité interne : Les entreprises doivent protéger les utilisateurs non seulement des attaques venues de l’extérieur mais aussi du risque de voir des employés abuser de leur possibilité d’accès aux données sensibles.
  • Test d’intrusion : Souvenez-vous de la loi Schneier qui stipule que « n’importe qui, du plus parfait amateur au meilleur cryptographe, peut créer un algorithme que lui-même ne peut pas casser ». Les systèmes de sécurité devraient être testés de manière indépendante et vérifiés avant qu’ils ne soient compromis.
  • Do Not Track : Il faut encourager l’implémentation et la diffusion des systèmes de type Do Not Track (Ne me suivez pas à mon insu et laissez-moi régler mes préférences de confidentialité). Actuellement cela se limite aux navigateurs Web, et seul le projet Mozilla Boot2Gecko (encore en développement) le prend directement en charge à partir du système d’exploitation.

Ces recommandations constituent une base de référence, et l’ensemble des acteurs (des développeurs d’applications aux fournisseurs d’accès et de services en passant par les régies publicitaires et bien d’autres) devraient tout faire pour les atteindre voire les dépasser. L’écosystème d’applications mobiles s’est développé et a mûri. Les utilisateurs sont en droit d’attendre désormais des politiques et des pratiques sérieuses et responsables. Il est temps de répondre à ces attentes.

Notes

[1] Crédit photo : Phil Campbell (Creative Commons By)

[2] La question, une fois de plus, se pose différemment si ces apps sont sous licence libre car la transparence est alors de mise.

[3] La non vigilance des utilisateurs de smartphones n’implique pas forcément la même imprudence pour leur ordinateur personnel. Il n’est ainsi par rare de rencontrer des libristes faisant très attention à ce qu’il y a dans leur PC mais installant à peu près n’importe quoi sur leur téléphone sous Android.




Geektionnerd : Le bug Microsoft du 29 février

C’était trop tentant : Windows Azure en panne à cause de l’année bissextile 🙂

Geektionnerd - Simon Gee Giraudot - CC by-sa

Geektionnerd - Simon Gee Giraudot - CC by-sa

Crédit : Simon Gee Giraudot (Creative Commons By-Sa)